[보안패치] 2023년 4월 보안 패치 주요 내용 안내 > SW 알리미

[보안패치] 2023년 4월 보안 패치 주요 내용 안내

스마트폰
2023.04.28
조회 1,612

2023년 4월 보안 패치 주요 내용 안내

2023년 4월 보안 패치 주요 내용을 안내 드립니다.

<꼭 알아두세요 !> 보안패치 적용 유의 사항

- 보안패치 적용은 통신 사업자와 일정을 협의하여 진행하게 되므로, 통신사업자별 적용 일정의 차이가 있을 수 있습니다.
- 보안패치는 구글의 보안패치 외에도 칩셋 업체와 LG 자체 보안 패치가 포함됩니다.
- 보안패치 적용 후 사용성 문제 발생하는 경우는, 추가 패치를 적용하거나, 차기 보안패치 업데이트시 반영될 수 있습니다.
- 보안업데이트 적용 시 모델에 따라 보안 패치 레벨이 상이할 수 있습니다.

2023년 4월 보안 패치 주요 내용

보안패치 레벨	주요 내용
2023–04	◆ 구글/칩셋 보안패치 - SPL 2023-03-05 및 SPL 2023-04-01 보안패치 적용 - CVE-2023-21081, CVE-2023-21099 : 앱이 백그라운드로 실행되지 못하도록 한 제한을 우회할 수 있는 취약점 방지. - CVE-2023-21088 : 위치 정보 관리자에서 백그라운드 활동의 실행 제한을 우회할 수 있는 취약점 방지. - CVE-2023-21089 : 앱이 백그라운드에 있는 동안에도 포그라운드 서비스가 활성 상태로 유지될 수 있는 취약점 방지. - CVE-2023-21092 : 시스템 앱의 권한을 사용하여 브로드캐스트 리시버(Broadcast Receiver)를 동적으로 등록할 수 있는 취약점 방지. - CVE-2023-21094 : 악의적인 앱이 디스플레이 콘텐츠를 바꿔치기 할 수 있는 취약점 방지. - CVE-2023-21097 : URI 문자열을 직렬화할 때 인텐트 스카마를 인코딩하도록 변경. - CVE-2023-21098 : 시스템 설정 앱에 임의 코드를 로드할 수 없도록 확인 검사 추가. - CVE-2023-21087 : 알림 기능에서 리소스 고갈로 인한 예외 수정. - CVE-2023-21090 : 패키지 속성에서 아주 큰 길이의 이름을 가진 경우 부팅 루프에 빠질 수 있는 취약점 방지. - CVE-2023-21085 : NFC 모듈에서 OOB(Out of Bounds) 취약점 방지. - CVE-2023-21096 : 블루투스 모듈에서 UAF(Use After Free) 취약점 방지. - CVE-2022-20463 : 네트웍 설정 초기화 시에 Wi-Fi 인증서를 제거하도록 수정. - CVE-2023-20967 : 블루투스 AVDTP 스택에서 OOB 취약점 방지. - CVE-2023-21084 : 시스템 이미지 빌드시에 적합한 해시 알고리즘 검사를 추가하여 안정화. - CVE-2023-21093 : 미디어 저장소에서 파일 경로 순회 오류로 인해 다른 어플리케이션에 속한 디렉토리의 파일을 접근할 수 있는 취약점 방지. - CVE-2023-21100 : zlib 압축 라이브러리에서 힙 오버플로우 취약점 방지. - CVE-2022-20471 : NFC 모듈에서 OOB 읽기 취약점 방지. - CVE-2023-20909 : Task 실행중 누락된 권한 검사 추가. - CVE-2023-20935 : Android Neural Networks API(NNAPI)에서 경계 검사 추가. - CVE-2023-21080 : 블루투스 알림 등록시 OOB 버그 수정. - CVE-2023-21082 : 전화서비스에서 다른 사용자의 연락처 전화번호가 보여질 수 있는 혼동 방지. - CVE-2023-21083 : 전화서비스에서 개인정보 표시기를 표시하지 않고 오디오를 녹음할 수 있는 취약점 방지. - CVE-2023-21091 : 시스템 앱 로케일을 변경할 수 있는 취약점 방지. - CVE-2023-20950 : 윈도우 매니저에서 백그라운드 활동의 실행 제한을 우회할 수 있는 취약점 방지. - CVE-2023-20621 : MediaTek SCP 관련 보안 취약점 수정. - CVE-2023-20623 : MediaTek Ion memory 관련 보안 취약점 수정. - CVE-2022-22075 : Qualcomm GPU display driver에서 부적절한 정보 노출 취약점 수정. - CVE-2022-40537 : Qualcomm 블루투스 인터페이스 모듈에서 버퍼 오버플로우 방지 수정. - CVE-2022-33213, CVE-2022-33256, CVE-2022-25694, CVE-2022-25705, CVE-2022-25709, CVE-2022-33244, CVE-2022-33250, CVE-2022-33254, CVE-2022-33272 : Qualcomm Modem Protocol 관련 보안 취약점 수정. - CVE-2022-33278 : Qualcomm TrustZone 관련 보안 취약점 수정. - CVE-2022-33242 : Qualcomm ADSP에서 부적절한 인증 취약점 수정. - CVE-2022-25655, CVE-2022-33309, CVE-2022-40527, CVE-2022-40530, CVE-2022-40531, CVE-2022-40535 : Qualcomm Wi-Fi firmware 관련 보안 취약점 수정. - LVE-2023-0042, LVE-2023-0043, LVE-2023-0044, LVE-2023-0045, LVE-2023-0046 : LG VPN용 보안 취약점 방지.

보안패치
레벨

주요 내용

2023–04

◆ 구글/칩셋 보안패치

- SPL 2023-03-05 및 SPL 2023-04-01 보안패치 적용
- CVE-2023-21081, CVE-2023-21099 : 앱이 백그라운드로 실행되지 못하도록 한 제한을 우회할 수 있는 취약점 방지.
- CVE-2023-21088 : 위치 정보 관리자에서 백그라운드 활동의 실행 제한을 우회할 수 있는 취약점 방지.
- CVE-2023-21089 : 앱이 백그라운드에 있는 동안에도 포그라운드 서비스가 활성 상태로 유지될 수 있는 취약점 방지.
- CVE-2023-21092 : 시스템 앱의 권한을 사용하여 브로드캐스트 리시버(Broadcast Receiver)를 동적으로 등록할 수 있는 취약점 방지.
- CVE-2023-21094 : 악의적인 앱이 디스플레이 콘텐츠를 바꿔치기 할 수 있는 취약점 방지.
- CVE-2023-21097 : URI 문자열을 직렬화할 때 인텐트 스카마를 인코딩하도록 변경.
- CVE-2023-21098 : 시스템 설정 앱에 임의 코드를 로드할 수 없도록 확인 검사 추가.
- CVE-2023-21087 : 알림 기능에서 리소스 고갈로 인한 예외 수정.
- CVE-2023-21090 : 패키지 속성에서 아주 큰 길이의 이름을 가진 경우 부팅 루프에 빠질 수 있는 취약점 방지.
- CVE-2023-21085 : NFC 모듈에서 OOB(Out of Bounds) 취약점 방지.
- CVE-2023-21096 : 블루투스 모듈에서 UAF(Use After Free) 취약점 방지.
- CVE-2022-20463 : 네트웍 설정 초기화 시에 Wi-Fi 인증서를 제거하도록 수정.
- CVE-2023-20967 : 블루투스 AVDTP 스택에서 OOB 취약점 방지.
- CVE-2023-21084 : 시스템 이미지 빌드시에 적합한 해시 알고리즘 검사를 추가하여 안정화.
- CVE-2023-21093 : 미디어 저장소에서 파일 경로 순회 오류로 인해 다른 어플리케이션에 속한 디렉토리의 파일을 접근할 수 있는 취약점 방지.
- CVE-2023-21100 : zlib 압축 라이브러리에서 힙 오버플로우 취약점 방지.
- CVE-2022-20471 : NFC 모듈에서 OOB 읽기 취약점 방지.
- CVE-2023-20909 : Task 실행중 누락된 권한 검사 추가.
- CVE-2023-20935 : Android Neural Networks API(NNAPI)에서 경계 검사 추가.
- CVE-2023-21080 : 블루투스 알림 등록시 OOB 버그 수정.
- CVE-2023-21082 : 전화서비스에서 다른 사용자의 연락처 전화번호가 보여질 수 있는 혼동 방지.
- CVE-2023-21083 : 전화서비스에서 개인정보 표시기를 표시하지 않고 오디오를 녹음할 수 있는 취약점 방지.
- CVE-2023-21091 : 시스템 앱 로케일을 변경할 수 있는 취약점 방지.
- CVE-2023-20950 : 윈도우 매니저에서 백그라운드 활동의 실행 제한을 우회할 수 있는 취약점 방지.
- CVE-2023-20621 : MediaTek SCP 관련 보안 취약점 수정.
- CVE-2023-20623 : MediaTek Ion memory 관련 보안 취약점 수정.
- CVE-2022-22075 : Qualcomm GPU display driver에서 부적절한 정보 노출 취약점 수정.
- CVE-2022-40537 : Qualcomm 블루투스 인터페이스 모듈에서 버퍼 오버플로우 방지 수정.
- CVE-2022-33213, CVE-2022-33256, CVE-2022-25694, CVE-2022-25705, CVE-2022-25709, CVE-2022-33244, CVE-2022-33250, CVE-2022-33254, CVE-2022-33272 : Qualcomm Modem Protocol 관련 보안 취약점 수정.
- CVE-2022-33278 : Qualcomm TrustZone 관련 보안 취약점 수정.
- CVE-2022-33242 : Qualcomm ADSP에서 부적절한 인증 취약점 수정.
- CVE-2022-25655, CVE-2022-33309, CVE-2022-40527, CVE-2022-40530, CVE-2022-40531, CVE-2022-40535 : Qualcomm Wi-Fi firmware 관련 보안 취약점 수정.
- LVE-2023-0042, LVE-2023-0043, LVE-2023-0044, LVE-2023-0045, LVE-2023-0046 : LG VPN용 보안 취약점 방지.

감사합니다.

이전 글 [SW 개선] 2023년 2분기 SW업데이트 계획 (‘23. 4월) 다음 글 [SW 개선] Q52(LM-Q520N) 소프트웨어 업데이트 공지 (4월)