[보안패치] 2022년 8월 보안 패치 주요 내용 안내 > SW 알리미

[보안패치] 2022년 8월 보안 패치 주요 내용 안내

스마트폰
2022.08.31
조회 2,843

2022년 8월 보안 패치 주요 내용 안내

2022년 8월 보안 패치 주요 내용을 안내 드립니다.

<꼭 알아두세요 !> 보안패치 적용 유의 사항

- 보안패치 적용은 통신 사업자와 일정을 협의하여 진행하게 되므로, 통신사업자별 적용 일정의 차이가 있을 수 있습니다.
- 보안패치는 구글의 보안패치 외에도 칩셋 업체와 LG 자체 보안 패치가 포함됩니다.
- 보안패치 적용 후 사용성 문제 발생하는 경우는, 추가 패치를 적용하거나, 차기 보안패치 업데이트시 반영될 수 있습니다.
- 보안업데이트 적용 시 모델에 따라 보안 패치 레벨이 상이할 수 있습니다.

2022년 8월 보안 패치 주요 내용

보안패치 레벨	주요 내용
2022–08	◆ 구글/칩셋 보안패치 - SPL 2022-07-05 및 SPL 2022-08-01 보안패치 적용 - CVE-2021-39696 : 앱 액티비티 동작시에 시스템 및 동일 앱의 작업 식별자를 구분하도록 하여 UI 스푸핑 취약점 방지. - CVE-2022-20344 : 서피스플링거(Surfaceflinger)에서 잠재적인 경합조건으로 인한 메모리 손상 방지. - CVE-2022-20348, CVE-2022-20349 : Wi-Fi 및 블루투스 검색 설정시에 위치 서비스 권한 확인. - CVE-2022-20356 : 백그라운드에서 포그라운드서비스를 시작할 수 있는 우회 취약점 방지 수정. - CVE-2022-20350 : 잘못된 앱에 대해 알림 접근 권한이 부여되도록 공격자가 앱 이름을 속일 수 있는 취약점 방지. - CVE-2022-20352 : 위치서비스에서 권한없이 다른 사용자의 위치 요청을 읽지 못하도록 누락된 권한 검사 추가. - CVE-2022-20357 : GUI 모듈에서 오류방지를 위해 사용하지 않는 필드에 대한 데이터 초기화. - CVE-2022-20358 : 프레임워크 내에 콘텐츠 동기화시 시스템 호출자만 동기화할 수 있도록 권한 제한 강화. - CVE-2022-20346 : MPEG4 플레이 시에 OOB(Out Of Bounds) 취약점 방지. - CVE-2022-20353 : 벨소리 설정시 오디오 파일인지 확인하고 널일 떄는 설정하지 않도록 수정. - CVE-2022-20347 : 설정앱에서 블루투스 연결 설정시 연결된 디바이스 검색 권한 수정. - CVE-2022-20354 : 코드 논리 오류로 인해 VPN을 비활성화할 수 있는 취약점 수정. - CVE-2022-20360 : 설정앱에서 게스트 사용자가 NFC를 비활성화하는 것을 허용하지 않도록 수정. - CVE-2022-20361 : 블루투스 기능에서 키 누락으로 인한 인증 실패 시에는 결합된 장치를 제거하도록 수정. - CVE-2022-20355 : PAC URL 입력시에 예기치 않은 충돌을 방지하기 위해 잘못된 URL 사용 방지. - CVE-2022-20220 : 연락처앱에서 파일 위치를 정규화하도록 하여 경로 순회 오류 수정. - CVE-2022-20227 : USB 드라이버에서 OOB 취약점 방지. - CVE-2022-20083, CVE-2022-21744 : MediaTek 모뎀 2G/3G 프로토콜 보안 취약점 수정. - CVE-2022-21763, CVE-2022-21764 : MediaTek telecom 모듈에서 통신 서비스의 보안 취약점 수정. - CVE-2022-22096 : Qualcomm 블루투스 스택에서 버퍼 오버플로우 취약점 수정. - CVE-2022-22058 : Qualcomm 커널에서 UAF(use after free) 취약점 수정. - LVE-SMP-220008 : 일부 모델에서 구성 요소 취약성을 방지하기 위해 TEE 업데이트.

보안패치
레벨

주요 내용

2022–08

◆ 구글/칩셋 보안패치

- SPL 2022-07-05 및 SPL 2022-08-01 보안패치 적용
- CVE-2021-39696 : 앱 액티비티 동작시에 시스템 및 동일 앱의 작업 식별자를 구분하도록 하여 UI 스푸핑 취약점 방지.
- CVE-2022-20344 : 서피스플링거(Surfaceflinger)에서 잠재적인 경합조건으로 인한 메모리 손상 방지.
- CVE-2022-20348, CVE-2022-20349 : Wi-Fi 및 블루투스 검색 설정시에 위치 서비스 권한 확인.
- CVE-2022-20356 : 백그라운드에서 포그라운드서비스를 시작할 수 있는 우회 취약점 방지 수정.
- CVE-2022-20350 : 잘못된 앱에 대해 알림 접근 권한이 부여되도록 공격자가 앱 이름을 속일 수 있는 취약점 방지.
- CVE-2022-20352 : 위치서비스에서 권한없이 다른 사용자의 위치 요청을 읽지 못하도록 누락된 권한 검사 추가.
- CVE-2022-20357 : GUI 모듈에서 오류방지를 위해 사용하지 않는 필드에 대한 데이터 초기화.
- CVE-2022-20358 : 프레임워크 내에 콘텐츠 동기화시 시스템 호출자만 동기화할 수 있도록 권한 제한 강화.
- CVE-2022-20346 : MPEG4 플레이 시에 OOB(Out Of Bounds) 취약점 방지.
- CVE-2022-20353 : 벨소리 설정시 오디오 파일인지 확인하고 널일 떄는 설정하지 않도록 수정.
- CVE-2022-20347 : 설정앱에서 블루투스 연결 설정시 연결된 디바이스 검색 권한 수정.
- CVE-2022-20354 : 코드 논리 오류로 인해 VPN을 비활성화할 수 있는 취약점 수정.
- CVE-2022-20360 : 설정앱에서 게스트 사용자가 NFC를 비활성화하는 것을 허용하지 않도록 수정.
- CVE-2022-20361 : 블루투스 기능에서 키 누락으로 인한 인증 실패 시에는 결합된 장치를 제거하도록 수정.
- CVE-2022-20355 : PAC URL 입력시에 예기치 않은 충돌을 방지하기 위해 잘못된 URL 사용 방지.
- CVE-2022-20220 : 연락처앱에서 파일 위치를 정규화하도록 하여 경로 순회 오류 수정.
- CVE-2022-20227 : USB 드라이버에서 OOB 취약점 방지.
- CVE-2022-20083, CVE-2022-21744 : MediaTek 모뎀 2G/3G 프로토콜 보안 취약점 수정.
- CVE-2022-21763, CVE-2022-21764 : MediaTek telecom 모듈에서 통신 서비스의 보안 취약점 수정.
- CVE-2022-22096 : Qualcomm 블루투스 스택에서 버퍼 오버플로우 취약점 수정.
- CVE-2022-22058 : Qualcomm 커널에서 UAF(use after free) 취약점 수정.
- LVE-SMP-220008 : 일부 모델에서 구성 요소 취약성을 방지하기 위해 TEE 업데이트.

감사합니다.

이전 글 [SW 개선] 2022년 3분기 SW업데이트 계획 (‘22. 8월) 다음 글 [SW 개선] Q52(LM-Q520N) 소프트웨어 업데이트 공지 (8월)