이전S/W 업데이트 소식

[보안패치] 2023년 8월 보안 패치 주요 내용 안내

스마트폰
2023.08.29
조회 1,973

2023년 8월 보안 패치 주요 내용 안내

2023년 8월 보안 패치 주요 내용을 안내 드립니다.

<꼭 알아두세요 !> 보안패치 적용 유의 사항

- 보안패치 적용은 통신 사업자와 일정을 협의하여 진행하게 되므로, 통신사업자별 적용 일정의 차이가 있을 수 있습니다.
- 보안패치는 구글의 보안패치 외에도 칩셋 업체와 LG 자체 보안 패치가 포함됩니다.
- 보안패치 적용 후 사용성 문제 발생하는 경우는, 추가 패치를 적용하거나, 차기 보안패치 업데이트시 반영될 수 있습니다.
- 보안업데이트 적용 시 모델에 따라 보안 패치 레벨이 상이할 수 있습니다.

2023년 8월 보안 패치 주요 내용

보안패치 레벨	주요 내용
2023–08	◆ 구글/칩셋 보안패치 - SPL 2023-07-05 및 SPL 2023-08-01 보안패치 적용 - CVE-2023-21265 : 비활성화해야 하는 루트 CA 인증서 삭제. - CVE-2023-21287 : freetype 폰트 외부 라이브러리 관련 취약점 수정. - CVE-2023-21269 : 백그라운드로부터 PiP(Picture in Picture)모드로 액티비티를 실행시킬 수 있는 취약점 방지. - CVE-2023-21270 : 패키지 업데이트시에 비런타임 권한에 대한 취약점 수정. - CVE-2023-21272 : 인터넷 자원 이용 관련 URI의 권한과 스키마를 올바르게 확인하도록 수정. - CVE-2023-21278 : 화면 여러 위치에서 마이크 표시기를 가릴 수 있는 취약점 방지. - CVE-2023-21281 : 키가드(Keyguard)에서 사용자별로 설정이 사용되도록 수정. - CVE-2023-21286 : 다른 사용자에게 속한 리소스를 표시할 수 있는 취약점 방지. - CVE-2023-21267 : 기기 잠금 시에 항상 키가드를 표시하도록 수정. - CVE-2023-21276 : 커서윈도우 모듈에서 불필요한 패팅 코드 제거. - CVE-2023-21277 : 위젯에서 누락된 권한 확인으로 인해 사용자 간에 이미지를 표시할 수 있는 취약점 방지. - CVE-2023-21279 : 위젯에서 URI에 대한 검증 추가. - CVE-2023-21283 : 통화 호출자의 상태 힌트(StatusHints) 이미지가 악용되는 것을 방지. - CVE-2023-21288 : 알림에서 누락된 권한 확인 추가. - CVE-2023-21289 : 월렛 UI의 특정 상황에서 보안 취약점 방지를 위해 지갑 카드용 드로어블을 로드하지 못하도록 수정. - CVE-2023-21292 : 액티비티 매니저에서 URI 호출시 컨텐츠 호출자의 권한을 확인하도록 수정. - CVE-2023-21280 : 미디어 브로드캐스트 리시버(Broadcast Receiver)에서 구성 요소 이름의 유효성 검사 추가. - CVE-2023-21284 : Device Policy 정책 설정에서 문자열 길이에 제한을 두도록 수정. - CVE-2023-21282 : 멀티미디어 관련 AAC 라이브러리의 OOB(Out-Of-Bounds) 취약점 방지. - CVE-2023-21273 : 블루투스 SDP 관련 OOB 취약점 방지. - CVE-2023-20965, CVE-2023-21242 : Wi-Fi에서 TOFU(Trust on First Use) 인증 방식의 자격증명 취약점 수정. - CVE-2023-21132, CVE-2023-21133, CVE-2023-21134, CVE-2023-21140 : 장치가 프로비저닝되지 않은 경우에 권한 설정에 대한 액세스를 허용하지 않도록 수정. - CVE-2023-21275 : 설정 마법사(Setup Wizard) 이후에 공장 초기화 로직 취약점 방지. - CVE-2023-21271, CVE-2023-21274 : NeuralNetworks 모듈에서 누락된 경계 검사 추가. - CVE-2023-21285 : 미디어 관련 모듈에서 URI 권한 검사 추가. - CVE-2023-21268, CVE-2023-21290 : MmsProvider에서 경합조건에 의한 권한 검사 우회 취약점 방지. - CVE-2022-42703 : Kernel 메모리 관련 UAF(Use After Free) 취약점 수정. - CVE-2021-29256, CVE-2022-28350, CVE-2023-28147, CVE-2023-26083 : Arm Mali GPU 드라이버 관련 보안 취약점 수정. - CVE-2021-0948 : PowerVR GPU 드라이버 관련 보안 취약점 수정. - CVE-2023-20754, CVE-2023-20755 : MediaTek keyinstall 관련 보안 취약점 수정. - CVE-2023-22386, CVE-2023-24851, CVE-2023-24854, CVE-2023-28541, CVE-2023-28542 : Qualcomm WLAN 드라이버에서 버퍼 오버플로우 및 버퍼 오버읽기 취약점 방지. - CVE-2023-22387 : Qualcomm Kernel OOB 메모리 취약점 방지. - CVE-2023-21629, CVE-2023-21631 : Qualcomm Modem Protocol 관련 보안 취약점 수정. - CVE-2023-22667 : Qualcomm Audio에서 Music playback 동안에 버퍼 오버플로우 방지. - LVE-2023-0057 : 설치서비스 앱에서 시스템 권한으로 임의 파일을 삭제할 수 있는 취약점 방지. - LVE-2023-0069 : 메시지 앱에서 임의의 콘텐츠 공급자에 대한 액세스 권한을 얻을 수 있는 취약점 방지. - LVE-2023-0077 : 권한 없이 LockScreen 설정의 구성을 수정하거나 액세스할 수 있는 취약점 방지.

보안패치
레벨

주요 내용

2023–08

◆ 구글/칩셋 보안패치

- SPL 2023-07-05 및 SPL 2023-08-01 보안패치 적용
- CVE-2023-21265 : 비활성화해야 하는 루트 CA 인증서 삭제.
- CVE-2023-21287 : freetype 폰트 외부 라이브러리 관련 취약점 수정.
- CVE-2023-21269 : 백그라운드로부터 PiP(Picture in Picture)모드로 액티비티를 실행시킬 수 있는 취약점 방지.
- CVE-2023-21270 : 패키지 업데이트시에 비런타임 권한에 대한 취약점 수정.
- CVE-2023-21272 : 인터넷 자원 이용 관련 URI의 권한과 스키마를 올바르게 확인하도록 수정.
- CVE-2023-21278 : 화면 여러 위치에서 마이크 표시기를 가릴 수 있는 취약점 방지.
- CVE-2023-21281 : 키가드(Keyguard)에서 사용자별로 설정이 사용되도록 수정.
- CVE-2023-21286 : 다른 사용자에게 속한 리소스를 표시할 수 있는 취약점 방지.
- CVE-2023-21267 : 기기 잠금 시에 항상 키가드를 표시하도록 수정.
- CVE-2023-21276 : 커서윈도우 모듈에서 불필요한 패팅 코드 제거.
- CVE-2023-21277 : 위젯에서 누락된 권한 확인으로 인해 사용자 간에 이미지를 표시할 수 있는 취약점 방지.
- CVE-2023-21279 : 위젯에서 URI에 대한 검증 추가.
- CVE-2023-21283 : 통화 호출자의 상태 힌트(StatusHints) 이미지가 악용되는 것을 방지.
- CVE-2023-21288 : 알림에서 누락된 권한 확인 추가.
- CVE-2023-21289 : 월렛 UI의 특정 상황에서 보안 취약점 방지를 위해 지갑 카드용 드로어블을 로드하지 못하도록 수정.
- CVE-2023-21292 : 액티비티 매니저에서 URI 호출시 컨텐츠 호출자의 권한을 확인하도록 수정.
- CVE-2023-21280 : 미디어 브로드캐스트 리시버(Broadcast Receiver)에서 구성 요소 이름의 유효성 검사 추가.
- CVE-2023-21284 : Device Policy 정책 설정에서 문자열 길이에 제한을 두도록 수정.
- CVE-2023-21282 : 멀티미디어 관련 AAC 라이브러리의 OOB(Out-Of-Bounds) 취약점 방지.
- CVE-2023-21273 : 블루투스 SDP 관련 OOB 취약점 방지.
- CVE-2023-20965, CVE-2023-21242 : Wi-Fi에서 TOFU(Trust on First Use) 인증 방식의 자격증명 취약점 수정.
- CVE-2023-21132, CVE-2023-21133, CVE-2023-21134, CVE-2023-21140 : 장치가 프로비저닝되지 않은 경우에 권한 설정에 대한 액세스를 허용하지 않도록 수정.
- CVE-2023-21275 : 설정 마법사(Setup Wizard) 이후에 공장 초기화 로직 취약점 방지.
- CVE-2023-21271, CVE-2023-21274 : NeuralNetworks 모듈에서 누락된 경계 검사 추가.
- CVE-2023-21285 : 미디어 관련 모듈에서 URI 권한 검사 추가.
- CVE-2023-21268, CVE-2023-21290 : MmsProvider에서 경합조건에 의한 권한 검사 우회 취약점 방지.
- CVE-2022-42703 : Kernel 메모리 관련 UAF(Use After Free) 취약점 수정.
- CVE-2021-29256, CVE-2022-28350, CVE-2023-28147, CVE-2023-26083 : Arm Mali GPU 드라이버 관련 보안 취약점 수정.
- CVE-2021-0948 : PowerVR GPU 드라이버 관련 보안 취약점 수정.
- CVE-2023-20754, CVE-2023-20755 : MediaTek keyinstall 관련 보안 취약점 수정.
- CVE-2023-22386, CVE-2023-24851, CVE-2023-24854, CVE-2023-28541, CVE-2023-28542 : Qualcomm WLAN 드라이버에서 버퍼 오버플로우 및 버퍼 오버읽기 취약점 방지.
- CVE-2023-22387 : Qualcomm Kernel OOB 메모리 취약점 방지.
- CVE-2023-21629, CVE-2023-21631 : Qualcomm Modem Protocol 관련 보안 취약점 수정.
- CVE-2023-22667 : Qualcomm Audio에서 Music playback 동안에 버퍼 오버플로우 방지.
- LVE-2023-0057 : 설치서비스 앱에서 시스템 권한으로 임의 파일을 삭제할 수 있는 취약점 방지.
- LVE-2023-0069 : 메시지 앱에서 임의의 콘텐츠 공급자에 대한 액세스 권한을 얻을 수 있는 취약점 방지.
- LVE-2023-0077 : 권한 없이 LockScreen 설정의 구성을 수정하거나 액세스할 수 있는 취약점 방지.

감사합니다.

이전 글 [SW 개선] 2023년 3분기 SW업데이트 계획 (‘23. 8월) 다음 글 [SW 개선] Q52(LM-Q520N) 소프트웨어 업데이트 공지 (8월)