이전S/W 업데이트 소식

[보안패치] 2022년 7월 보안 패치 주요 내용 안내

스마트폰
2022.07.29
조회 3,216

2022년 7월 보안 패치 주요 내용 안내

2022년 7월 보안 패치 주요 내용을 안내 드립니다.

<꼭 알아두세요 !> 보안패치 적용 유의 사항

- 보안패치 적용은 통신 사업자와 일정을 협의하여 진행하게 되므로, 통신사업자별 적용 일정의 차이가 있을 수 있습니다.
- 보안패치는 구글의 보안패치 외에도 칩셋 업체와 LG 자체 보안 패치가 포함됩니다.
- 보안패치 적용 후 사용성 문제 발생하는 경우는, 추가 패치를 적용하거나, 차기 보안패치 업데이트시 반영될 수 있습니다.
- 보안업데이트 적용 시 모델에 따라 보안 패치 레벨이 상이할 수 있습니다.

2022년 7월 보안 패치 주요 내용

보안패치 레벨	주요 내용
2022–07	◆ 구글/칩셋 보안패치 - SPL 2022-06-05 및 SPL 2022-07-01 보안패치 적용 - CVE-2022-20219 : 사용자 저장소를 준비하는 동안 암호화되지 않은 상태로 둘 수 있는 취약점 수정. - CVE-2022-20228 : 음성 오디오 코덱에서 UAF(use after free)에 의한 메모리 손상 취약점 수정. - CVE-2022-20229, CVE-2022-20224 : 블루투스 HFP 모듈에서 OOB(Out of Bounds) 취약점 수정. - CVE-2021-0981 : 포그라운드서비스(FGS)에서 잘못된 알림에 대한 예외처리 추가. - CVE-2022-20223 : 설정앱에서 인텐트의 패키지명 혼동으로 인해 권한없이 액티비티를 시작할 수 있는 취약점 수정. - CVE-2022-20226 : 윈도우매니저서비스에서 기존에 요청되었던 트랜잭션 권한을 삭제하도록 하여 탭재킹(tapjacking) 취약점 방지. - CVE-2022-20221 : 블루투스 AVRCP 모듈에서 부적절한 입력에 대한 경계 검사 수정. - CVE-2022-20225 : UICC 관련 기능에서 누락된 권한 검사 추가. - CVE-2022-20230 : 사용자의 인증서 내용이 유출될 수 있어 보여지기 전에 URI 부분을 인코딩하도록 수정. - CVE-2021-0341 : HTTP 호스트 이름 검증시 암호화 오류로 인한 취약점 수정. 2021-02 업데이트. - CVE-2021-39703 : USB 연결시 파일에 대한 무단 엑세스 취약점 수정. 2022-03 업데이트. - CVE-2022-20115 : 텔리포니서비스 브로드캐스트시에 권한있는 경우만 위치 정보를 전송할 수 있도록 수정. 2022-05 업데이트. - CVE-2022-20141 : 커널 ipv4 모듈내 UAF(use after free) 취약점 방지. - CVE-2022-24958, CVE-2022-25258, CVE-2022-20132 : 커널 USB, USB HID 드라이버에서 UAF 및 OOB 취약점 방지. - CVE-2022-21745 : MediaTek Wi-Fi 드라이버 관련 취약점 수정. - CVE-2021-35083, CVE-2021-35102, CVE-2021-35111 : Qualcomm modem protocol 관련 취약점 수정. - LVE-SMP-220005 : 악의적인 앱이 사용자 쿠키 및 기타 데이터를 훔칠 수 있는 취약점 방지. - LVE-SMP-220006 : Fragment 주입 취약점을 노출시키는 안전하지 않은 구현에 대한 수정. - LVE-SMP-220007 : 안전하지 않은 TrustManager를 사용하는 취약점 수정.

보안패치
레벨

주요 내용

2022–07

◆ 구글/칩셋 보안패치

- SPL 2022-06-05 및 SPL 2022-07-01 보안패치 적용
- CVE-2022-20219 : 사용자 저장소를 준비하는 동안 암호화되지 않은 상태로 둘 수 있는 취약점 수정.
- CVE-2022-20228 : 음성 오디오 코덱에서 UAF(use after free)에 의한 메모리 손상 취약점 수정.
- CVE-2022-20229, CVE-2022-20224 : 블루투스 HFP 모듈에서 OOB(Out of Bounds) 취약점 수정.
- CVE-2021-0981 : 포그라운드서비스(FGS)에서 잘못된 알림에 대한 예외처리 추가.
- CVE-2022-20223 : 설정앱에서 인텐트의 패키지명 혼동으로 인해 권한없이 액티비티를 시작할 수 있는 취약점 수정.
- CVE-2022-20226 : 윈도우매니저서비스에서 기존에 요청되었던 트랜잭션 권한을 삭제하도록 하여 탭재킹(tapjacking) 취약점 방지.
- CVE-2022-20221 : 블루투스 AVRCP 모듈에서 부적절한 입력에 대한 경계 검사 수정.
- CVE-2022-20225 : UICC 관련 기능에서 누락된 권한 검사 추가.
- CVE-2022-20230 : 사용자의 인증서 내용이 유출될 수 있어 보여지기 전에 URI 부분을 인코딩하도록 수정.
- CVE-2021-0341 : HTTP 호스트 이름 검증시 암호화 오류로 인한 취약점 수정. 2021-02 업데이트.
- CVE-2021-39703 : USB 연결시 파일에 대한 무단 엑세스 취약점 수정. 2022-03 업데이트.
- CVE-2022-20115 : 텔리포니서비스 브로드캐스트시에 권한있는 경우만 위치 정보를 전송할 수 있도록 수정. 2022-05 업데이트.
- CVE-2022-20141 : 커널 ipv4 모듈내 UAF(use after free) 취약점 방지.
- CVE-2022-24958, CVE-2022-25258, CVE-2022-20132 : 커널 USB, USB HID 드라이버에서 UAF 및 OOB 취약점 방지.
- CVE-2022-21745 : MediaTek Wi-Fi 드라이버 관련 취약점 수정.
- CVE-2021-35083, CVE-2021-35102, CVE-2021-35111 : Qualcomm modem protocol 관련 취약점 수정.
- LVE-SMP-220005 : 악의적인 앱이 사용자 쿠키 및 기타 데이터를 훔칠 수 있는 취약점 방지.
- LVE-SMP-220006 : Fragment 주입 취약점을 노출시키는 안전하지 않은 구현에 대한 수정.
- LVE-SMP-220007 : 안전하지 않은 TrustManager를 사용하는 취약점 수정.

감사합니다.

이전 글 [SW 개선] Q51 (LM-Q510N) 소프트웨어 업데이트 공지 (8월) 다음 글 [SW 개선] 2022년 3분기 SW업데이트 계획 (‘22. 7월)