이전S/W 업데이트 소식

[보안패치] 2022년 1월 보안 패치 주요 내용 안내

스마트폰
2022.01.28
조회 3,448

2022년 1월 보안 패치 주요 내용 안내

2022년 1월 보안 패치 주요 내용을 안내 드립니다.

<꼭 알아두세요 !> 보안패치 적용 유의 사항

- 보안패치 적용은 통신 사업자와 일정을 협의하여 진행하게 되므로, 통신사업자별 적용 일정의 차이가 있을 수 있습니다.
- 보안패치는 구글의 보안패치 외에도 칩셋 업체와 LG 자체 보안 패치가 포함됩니다.
- 보안패치 적용 후 사용성 문제 발생하는 경우는, 추가 패치를 적용하거나, 차기 보안패치 업데이트시 반영될 수 있습니다.
- 보안업데이트 적용 시 모델에 따라 보안 패치 레벨이 상이할 수 있습니다.

2022년 1월 보안 패치 주요 내용

보안패치 레벨	주요 내용
2022–01	◆ 구글/칩셋 보안패치 - SPL 2021-12-05 및 SPL 2022-01-01 보안패치 적용 - CVE-2021-39630 : 루트가 아닌 셸이 오버레이 제작하는 것을 방지하고 부팅시 셸 오버레이를 삭제하여 권한 우회 취약점 방지. - CVE-2021-39632 : Recovery UI에서 잘못된 범위 검사 오류로 인한 OOB(Out of Bounds) 취약점 수정. - CVE-2020-0338 : 계정관리 모듈에서 내부에 포함된 URI의 잘못된 사용을 방지. - CVE-2021-39623 : 멀티미디어 관련 Stagefright 라이브러리에서 멀티미디어 디코딩시에 힙 메모리 OOB 취약점 방지. - CVE-2021-39618 : 사용자 동의없이 기존 패키지를 설치할 수 있는 취약점 방지. - CVE-2021-39620 : 시스템내 Parcel 처리시 UAF(Use After Free) 메모리 손상 취약점 수정. - CVE-2021-39621, CVE-2021-39627 : 음성메일 관련 PendingIntent 동작시 내용을 변경할 수 없도록 하는 속성을 추가하여 권한 우회 취약점 방지. - CVE-2021-39622 : GMS에서 공장 초기화 보호(Factory Reset Protection)의 우회가 가능한 취약점 수정. - CVE-2021-39625 : MediaProvider 콘텐츠에 우회하여 엑세스 가능한 취약점이 있어 대상이 되는 패키지를 지정하도록 수정. - CVE-2021-39626 : 블루투스 설정앱에서 권한 추가없이 블루투스를 검색할 수 있는 취약점 수정. - CVE-2021-39629 : NFC에서 초기화 실패시 shutdown 호출하도록 수정하여 UAF 취약점 방지. - CVE-2021-0643 : 권한없는 앱이 심카드의 ID를 읽을 수 있는 보안 취약점이 있어 호출자에게 권한이 없을 경우 식별자를 필터링하도록 수정. - CVE-2021-39628 : System UI의 상태바에서 잠금 화면시 알림 코텐츠가 노출될 수 있는 취약점 방지. - CVE-2021-39659 : Call 동작시 처리되지 않은 예외로 인해 응급 호출이 되지 않을 수 있는 취약점 수정. - CVE-2021-0971 : 멀티미디어 관련 MPEG4 추출기에서 힙 버퍼 오버플로우 취약점 수정. - CVE-2021-33909 : 커널 파일시스템에서 정수 오버플로우 방지 수정. - CVE-2021-0961 : 커널 네트워킹 모듈에서 버퍼 데이터가 초기화 되지 않은 문제 수정. - CVE-2021-30262 : 커널 네트워킹 모듈에서 소켓 이벤트 처리시 잘못된 메모리 엑세스 오류 수정. - CVE-2021-30335, CVE-2021-30336, CVE-2021-30337 : Qualcomm DSP Service 모듈에서 경합조건시 오류, UAF 취약점 및 OOB 취약점 수정. - CVE-2021-30351 : 음악재생 중 전달되는 프레임수 처리 관련 메모리 엑세스 오류 취약점 수정. - CVE-2021-30275 외 9건 : Qualcomm TrustZone 관련 보안 취약점 수정. - CVE-2021-30267 외 4건 : Qualcomm Modem protocol 관련 취약점 수정. - CVE-2021-30303 : Qualcomm Wi-Fi 펌웨어 보안 취약점 수정. - CVE-2020-0368 : 연락처 및 통화목록 앱에서 음성 메일 메타데이터의 내부 정보가 노출될 수 있는 취약점 방지 수정. - CVE-2021-0661 외 3건 : MediaTek Audio DSP와 인터페이스 보안 취약점 수정.

보안패치
레벨

주요 내용

2022–01

◆ 구글/칩셋 보안패치

- SPL 2021-12-05 및 SPL 2022-01-01 보안패치 적용
- CVE-2021-39630 : 루트가 아닌 셸이 오버레이 제작하는 것을 방지하고 부팅시 셸 오버레이를 삭제하여 권한 우회 취약점 방지.
- CVE-2021-39632 : Recovery UI에서 잘못된 범위 검사 오류로 인한 OOB(Out of Bounds) 취약점 수정.
- CVE-2020-0338 : 계정관리 모듈에서 내부에 포함된 URI의 잘못된 사용을 방지.
- CVE-2021-39623 : 멀티미디어 관련 Stagefright 라이브러리에서 멀티미디어 디코딩시에 힙 메모리 OOB 취약점 방지.
- CVE-2021-39618 : 사용자 동의없이 기존 패키지를 설치할 수 있는 취약점 방지.
- CVE-2021-39620 : 시스템내 Parcel 처리시 UAF(Use After Free) 메모리 손상 취약점 수정.
- CVE-2021-39621, CVE-2021-39627 : 음성메일 관련 PendingIntent 동작시 내용을 변경할 수 없도록 하는 속성을 추가하여 권한 우회 취약점 방지.
- CVE-2021-39622 : GMS에서 공장 초기화 보호(Factory Reset Protection)의 우회가 가능한 취약점 수정.
- CVE-2021-39625 : MediaProvider 콘텐츠에 우회하여 엑세스 가능한 취약점이 있어 대상이 되는 패키지를 지정하도록 수정.
- CVE-2021-39626 : 블루투스 설정앱에서 권한 추가없이 블루투스를 검색할 수 있는 취약점 수정.
- CVE-2021-39629 : NFC에서 초기화 실패시 shutdown 호출하도록 수정하여 UAF 취약점 방지.
- CVE-2021-0643 : 권한없는 앱이 심카드의 ID를 읽을 수 있는 보안 취약점이 있어 호출자에게 권한이 없을 경우 식별자를 필터링하도록 수정.
- CVE-2021-39628 : System UI의 상태바에서 잠금 화면시 알림 코텐츠가 노출될 수 있는 취약점 방지.
- CVE-2021-39659 : Call 동작시 처리되지 않은 예외로 인해 응급 호출이 되지 않을 수 있는 취약점 수정.
- CVE-2021-0971 : 멀티미디어 관련 MPEG4 추출기에서 힙 버퍼 오버플로우 취약점 수정.
- CVE-2021-33909 : 커널 파일시스템에서 정수 오버플로우 방지 수정.
- CVE-2021-0961 : 커널 네트워킹 모듈에서 버퍼 데이터가 초기화 되지 않은 문제 수정.
- CVE-2021-30262 : 커널 네트워킹 모듈에서 소켓 이벤트 처리시 잘못된 메모리 엑세스 오류 수정.
- CVE-2021-30335, CVE-2021-30336, CVE-2021-30337 : Qualcomm DSP Service 모듈에서 경합조건시 오류, UAF 취약점 및 OOB 취약점 수정.
- CVE-2021-30351 : 음악재생 중 전달되는 프레임수 처리 관련 메모리 엑세스 오류 취약점 수정.
- CVE-2021-30275 외 9건 : Qualcomm TrustZone 관련 보안 취약점 수정.
- CVE-2021-30267 외 4건 : Qualcomm Modem protocol 관련 취약점 수정.
- CVE-2021-30303 : Qualcomm Wi-Fi 펌웨어 보안 취약점 수정.
- CVE-2020-0368 : 연락처 및 통화목록 앱에서 음성 메일 메타데이터의 내부 정보가 노출될 수 있는 취약점 방지 수정.
- CVE-2021-0661 외 3건 : MediaTek Audio DSP와 인터페이스 보안 취약점 수정.

감사합니다.

이전 글 [SW 개선] 2022년 1분기 SW업데이트 계획 (‘22. 1월) 다음 글 ThinQ 허브 Google 캘린더 서비스 종료 안내