갤럭시 사용자, 보안 취약점 경고

구글, 삼성 갤럭시 폰 사용자에게 취약점 경고

지난달 미국 정부는 모든 연방 직원들에게 픽셀 핸드셋의 최신 보안 업데이트를 7월 4일 이전에 설치하도록 명령했습니다. 이 명령은 CISA(사이버 보안 및 인프라 보안 기관)가 관리하는 '알려진 악용 취약점'(KEV) 목록에서 비롯되었습니다. CVE-2024-32896이 "제한적, 표적적 악용 가능성"이 있는 것으로 나타났기 때문입니다.

해당 취약점을 악용할 경우 공격자가 권한 상승을 통해 일반적으로 접근 불가능한 데이터를 획득하거나 고급 사용자에게 허용된 권한을 남용할 수 있습니다. 이는 매우 심각한 문제로, 문제 발견 당시 해결책이나 패치가 없는 제로데이 취약점입니다.

구글은 CVE-2024-32896이 픽셀 기기뿐만 아니라 삼성 갤럭시 기기와 다른 안드로이드 폰에도 영향을 미친다고 발표했습니다. 삼성은 갤럭시 폰을 위한 7월 보안 업데이트를 이미 공개했지만, 이 취약점에 대한 패치는 포함되지 않았습니다. 반면 픽셀 기기는 해당 취약점을 패치한 상태입니다.

안드로이드 취약점, 픽셀은 패치 완료, 갤럭시는 보류 중

구글은 추가적인 악용이 디바이스를 완전히 해킹하는 데 필요하다고 덧붙였지만, GrapheneOS에서는 "두 가지 취약점이 해결되고 있으며, 픽셀 외의 기기에서는 아직 해결되지 않았다"고 말했습니다.

삼성은 7월 보안 업데이트에서 픽셀 기기들이 6월에 이미 해결한 중요한 퀄컴 취약점 세 가지를 패치했지만 여전히 늦었습니다. 삼성은 퀄컴 취약점과 같은 구성 요소 패치는 소프트웨어 및 펌웨어 수정보다 시간이 더 걸린다고 설명했지만, 픽셀 사용자들은 이미 보호를 받았습니다.

삼성의 7월 보안 업데이트 중 하나는 현재의 취약점인 CVE-2024-31320을 수정했습니다. 구글은 이 취약점이 "추가 실행 권한 없이 로컬 권한 상승을 초래할 수 있다"고 경고했습니다. 8월에 예정된 삼성의 보안 업데이트가 드디어 CVE-2024-32896 취약점을 해결하길 바랍니다.

출처 : 원문 보러가기