이전S/W 업데이트 소식

[보안패치] 2022년 6월 보안 패치 주요 내용 안내

스마트폰
2022.06.30
조회 3,585

2022년 6월 보안 패치 주요 내용 안내

2022년 6월 보안 패치 주요 내용을 안내 드립니다.

<꼭 알아두세요 !> 보안패치 적용 유의 사항

- 보안패치 적용은 통신 사업자와 일정을 협의하여 진행하게 되므로, 통신사업자별 적용 일정의 차이가 있을 수 있습니다.
- 보안패치는 구글의 보안패치 외에도 칩셋 업체와 LG 자체 보안 패치가 포함됩니다.
- 보안패치 적용 후 사용성 문제 발생하는 경우는, 추가 패치를 적용하거나, 차기 보안패치 업데이트시 반영될 수 있습니다.
- 보안업데이트 적용 시 모델에 따라 보안 패치 레벨이 상이할 수 있습니다.

2022년 6월 보안 패치 주요 내용

보안패치 레벨	주요 내용
2022–06	◆ 구글/칩셋 보안패치 - SPL 2022-05-05 및 SPL 2022-06-01 보안패치 적용 - CVE-2021-39691 : 안드로이드 윈도우매니저에서 사용자 입력시에 탭재킹 공격 취약점 방지. - CVE-2022-20006 : 권한없이 잠금 화면에서 간략한 내용을 볼 수 있는 취약점 수정. - CVE-2022-20125 : GMS에서 공장 초기화 보호(Factory Reset Protection)의 우회가 가능한 취약점 방지. - CVE-2022-20138 : 안드로이드 프로파일 프로비저닝 관련 취약점 방지. - CVE-2022-20130 : 멀티미디어 AAC 오디오 코덱에서 힙 버퍼 오버플로우 방지. - CVE-2022-20127, CVE-2022-20147, CVE-2022-20123, CVE-2022-20131 : NFC 관련 버퍼 이중 메모리 해제를 막기 위한 수정 및 버퍼 경계 검사 추가. - CVE-2022-20145 : VPN 연결시 데이터 암호화 MPPE(Microsoft Point-to-Point Encryption)가 요청될 때 PAP 인증을 허용하지 않도록 변경. - CVE-2022-20124 : 관리자가 아닌 게스트 사용자가 시스템 앱에 대한 업데이트를 제거할 수 있는 보안 취약점 수정. - CVE-2022-20126, CVE-2022-20133 : 주변 블루투스 검색시에 권한 검사 강화. - CVE-2022-20134 : 연락처 앱과 다이얼러 앱에서 사용자가 잘못된 전화번호로 전화를 걸도록 속일 수 있는 취약점 방지. - CVE-2022-20135 : 안드로이드 게이트키퍼(GateKeeper)에서 데이터 전송 형식 불일치로 인한 보안 취약점 수정. - CVE-2022-20142 : 위치(Location) 관련 모듈에서 데이터 전송 형식 불일치로 인한 취약점 수정. - CVE-2022-20144 : 설정 앱에서 콘텐츠 URI의 사용자 이미지 설정을 통해 시스템 파일이 유출되는 것을 방지. - CVE-2022-20129 : 전화 앱에서 패키지당 등록된 전화 계정 수를 제한하도록 변경. - CVE-2022-20143 : 알림 기능에서 자원 고갈로 인한 영구적인 서비스 거부 발생 취약점 방지. - CVE-2021-39690 : 월페이퍼 서비스에서 패딩값 설정시 유효성 검사 오류로 인한 DoS 공격 취약점 방지. - CVE-2021-0506 : 설정 앱의 알림창 동작시 탭재킹/오버레이 공격에 대한 취약점 수정. - CVE-2021-39671 : 시스템 aidl 모듈에서 디폴트 값 초기화하여 시스템 안정화. - CVE-2022-0847 : 커널내에 플래그 값을 초기화하여 OOB(Out Of Bounds) 취약점 방지. - CVE-2022-20009 : USB 드라이버의 가제트 하위 시스템에서 OOB 취약점 방지. - CVE-2022-20008 : 초기화되지 않은 데이터로 인해 커널 힙 메모리를 읽을 수 있는 취약점 방지. - CVE-2021-22600 : 커널 데이터 모듈에서 UAF(Use After Free)에 의한 메모리 손상 취약점 수정. - CVE-2022-20109, CVE-2022-20110 : MediaTek ion 커널 드라이버 취약점 수정. - CVE-2022-22057 : Qualcomm GPU 디스플레이 드라이버에서 경합조건으로 인한 UAF 메모리 손상 취약점 수정. - CVE-2022-22064, CVE-2022-22065, CVE-2022-22072 : Qualcomm Wi-Fi 드라이버 관련 버퍼 초과 읽기 및 오버플로우 취약점 수정. - CVE-2022-22068 : Qualcomm NPU 드라이버에서 UAF 메모리 손상 취약점 수정 - CVE-2021-35090, CVE-2021-35080, CVE-2021-35094 : Qualcomm TrustZone 관련 보안 취약점 수정. - CVE-2021-35072, CVE-2021-35073, CVE-2021-35076, CVE-2021-35078, CVE-2021-35086, CVE-2021-35087, CVE-2021-35096 : Qualcomm 모뎀 프로토콜 관련 취약점 수정. - CVE-2021-35116 : Qualcomm Neural Networks 모델 파일의 무결성에 대한 검증 오류 수정.

보안패치
레벨

주요 내용

2022–06

◆ 구글/칩셋 보안패치

- SPL 2022-05-05 및 SPL 2022-06-01 보안패치 적용
- CVE-2021-39691 : 안드로이드 윈도우매니저에서 사용자 입력시에 탭재킹 공격 취약점 방지.
- CVE-2022-20006 : 권한없이 잠금 화면에서 간략한 내용을 볼 수 있는 취약점 수정.
- CVE-2022-20125 : GMS에서 공장 초기화 보호(Factory Reset Protection)의 우회가 가능한 취약점 방지.
- CVE-2022-20138 : 안드로이드 프로파일 프로비저닝 관련 취약점 방지.
- CVE-2022-20130 : 멀티미디어 AAC 오디오 코덱에서 힙 버퍼 오버플로우 방지.
- CVE-2022-20127, CVE-2022-20147, CVE-2022-20123, CVE-2022-20131 : NFC 관련 버퍼 이중 메모리 해제를 막기 위한 수정 및 버퍼 경계 검사 추가.
- CVE-2022-20145 : VPN 연결시 데이터 암호화 MPPE(Microsoft Point-to-Point Encryption)가 요청될 때 PAP 인증을 허용하지 않도록 변경.
- CVE-2022-20124 : 관리자가 아닌 게스트 사용자가 시스템 앱에 대한 업데이트를 제거할 수 있는 보안 취약점 수정.
- CVE-2022-20126, CVE-2022-20133 : 주변 블루투스 검색시에 권한 검사 강화.
- CVE-2022-20134 : 연락처 앱과 다이얼러 앱에서 사용자가 잘못된 전화번호로 전화를 걸도록 속일 수 있는 취약점 방지.
- CVE-2022-20135 : 안드로이드 게이트키퍼(GateKeeper)에서 데이터 전송 형식 불일치로 인한 보안 취약점 수정.
- CVE-2022-20142 : 위치(Location) 관련 모듈에서 데이터 전송 형식 불일치로 인한 취약점 수정.
- CVE-2022-20144 : 설정 앱에서 콘텐츠 URI의 사용자 이미지 설정을 통해 시스템 파일이 유출되는 것을 방지.
- CVE-2022-20129 : 전화 앱에서 패키지당 등록된 전화 계정 수를 제한하도록 변경.
- CVE-2022-20143 : 알림 기능에서 자원 고갈로 인한 영구적인 서비스 거부 발생 취약점 방지.
- CVE-2021-39690 : 월페이퍼 서비스에서 패딩값 설정시 유효성 검사 오류로 인한 DoS 공격 취약점 방지.
- CVE-2021-0506 : 설정 앱의 알림창 동작시 탭재킹/오버레이 공격에 대한 취약점 수정.
- CVE-2021-39671 : 시스템 aidl 모듈에서 디폴트 값 초기화하여 시스템 안정화.
- CVE-2022-0847 : 커널내에 플래그 값을 초기화하여 OOB(Out Of Bounds) 취약점 방지.
- CVE-2022-20009 : USB 드라이버의 가제트 하위 시스템에서 OOB 취약점 방지.
- CVE-2022-20008 : 초기화되지 않은 데이터로 인해 커널 힙 메모리를 읽을 수 있는 취약점 방지.
- CVE-2021-22600 : 커널 데이터 모듈에서 UAF(Use After Free)에 의한 메모리 손상 취약점 수정.
- CVE-2022-20109, CVE-2022-20110 : MediaTek ion 커널 드라이버 취약점 수정.
- CVE-2022-22057 : Qualcomm GPU 디스플레이 드라이버에서 경합조건으로 인한 UAF 메모리 손상 취약점 수정.
- CVE-2022-22064, CVE-2022-22065, CVE-2022-22072 : Qualcomm Wi-Fi 드라이버 관련 버퍼 초과 읽기 및 오버플로우 취약점 수정.
- CVE-2022-22068 : Qualcomm NPU 드라이버에서 UAF 메모리 손상 취약점 수정
- CVE-2021-35090, CVE-2021-35080, CVE-2021-35094 : Qualcomm TrustZone 관련 보안 취약점 수정.
- CVE-2021-35072, CVE-2021-35073, CVE-2021-35076, CVE-2021-35078, CVE-2021-35086, CVE-2021-35087, CVE-2021-35096 : Qualcomm 모뎀 프로토콜 관련 취약점 수정.
- CVE-2021-35116 : Qualcomm Neural Networks 모델 파일의 무결성에 대한 검증 오류 수정.

감사합니다.

이전 글 [SW 개선] 2022년 3분기 SW업데이트 계획 (‘22. 6월) 다음 글 [SW 개선] LG Wing (LM-F100N) 소프트웨어 업데이트 공지 (6월)