diff options
Diffstat (limited to 'ko/security/bulletin/2016-09-01.html')
-rw-r--r-- | ko/security/bulletin/2016-09-01.html | 134 |
1 files changed, 72 insertions, 62 deletions
diff --git a/ko/security/bulletin/2016-09-01.html b/ko/security/bulletin/2016-09-01.html index 58325237..fec8272f 100644 --- a/ko/security/bulletin/2016-09-01.html +++ b/ko/security/bulletin/2016-09-01.html @@ -46,17 +46,18 @@ Android 오픈소스 프로젝트(AOSP) 저장소에 배포되었습니다. 이 <p> 이 중 가장 심각한 문제는 미디어 파일을 처리할 때 이메일, 웹 탐색, MMS 등 여러 방법을 통해 대상 기기에서 -원격으로 코드를 실행할 수 있게 하는 심각한 보안 취약성입니다. <a href="/security/overview/updates-resources.html#severity">심각도 평가</a>는 +원격으로 코드를 실행할 수 있게 하는 심각한 보안 취약성입니다. <a href="/security/overview/updates-resources.html#severity">심각도 +평가</a>는 개발 목적으로 플랫폼 및 서비스 완화를 사용할 수 없거나 -우회에 성공한 경우 취약성 악용으로 인해 대상 기기가 받는 영향을 -기준으로 내려집니다. +우회에 성공한 경우 취약성 악용으로 인해 대상 기기가 +받는 영향을 기준으로 내려집니다. </p> <p> 실제 고객이 새로 보고된 이러한 문제로 인해 악용당했다는 신고는 접수되지 않았습니다. SafetyNet과 같이 -Android 플랫폼의 보안을 개선하는 -<a href="/security/enhancements/index.html">Android 보안 플랫폼 보호</a> +Android 플랫폼의 +보안을 개선하는 <a href="/security/enhancements/index.html">Android 보안 플랫폼 보호</a> 및 서비스 보호 기능에 관해 자세히 알아보려면 <a href="#mitigations">Android 및 Google 서비스 완화</a> 섹션을 참조하세요. </p> @@ -162,13 +163,13 @@ CVE-2016-3883</li> <li>Google의 Victor Chang: CVE-2016-3887</li> <li>Google의 Vignesh Venkatasubramanian: CVE-2016-3881</li> <li>Alibaba Inc.의 Weichao Sun(<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2016-3878</li> -<li><a href="http://c0reteam.org">C0RE Team</a>의 <a href="mailto:vancouverdou@gmail.com">Wenke Dou</a>, +<li><a href="http://c0reteam.org">C0RE Team</a>의 <a href="mailto:vancouverdou@gmail.com">Wenke Dou</a> Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>), Xuxian Jiang: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872</li> <li><a href="http://blog.trendmicro.com/trendlabs-security-intelligence/author/wishwu/">Trend -Micro Inc</a>의 +Micro Inc</a>.의 Wish Wu(<a href="http://weibo.com/wishlinux">吴潍浠</a>) (<a href="https://twitter.com/wish_wu">@wish_wu</a>): CVE-2016-3892</li> <li><a href="http://www.alibaba.com/">Alibaba Inc</a>의 Xingyu He(何星宇) @@ -185,9 +186,9 @@ Wish Wu(<a href="http://weibo.com/wishlinux">吴潍浠</a>) 각 보안 취약성에 관해 자세히 알아볼 수 있습니다. 여기에는 문제 설명, 심각도 근거 및 CVE, 관련 참조, 심각도, 업데이트된 Nexus 기기, 업데이트된 AOSP 버전 -(해당하는 경우), 신고된 날짜 등이 포함된 표가 제시됩니다. 가능한 경우 -AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 버그 ID에 -연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 +(해당하는 경우), 신고된 날짜 등이 포함된 표가 제시됩니다. 가능한 +경우 AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 +버그 ID에 연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 참조가 버그 ID 다음에 오는 번호에 연결됩니다. </p> @@ -230,10 +231,10 @@ LibUtils의 원격 코드 실행 취약성으로 인해 특별히 제작된 파 </tbody></table> <h3>미디어 서버의 원격 코드 실행 취약성</h3> <p> -미디어 서버의 원격 코드 실행 취약성으로 인해 특별히 제작된 파일을 사용하는 -공격자가 미디어 파일 및 데이터 처리 중에 메모리 손상을 일으킬 수 -있습니다. 이 문제는 미디어 서버 프로세스 내에서 원격 코드를 실행할 가능성이 있으므로 -심각도 심각으로 평가됩니다. +미디어 서버의 원격 코드 실행 취약성으로 인해 특별히 제작된 파일을 +사용하는 공격자가 미디어 파일 및 데이터 처리 중에 메모리 손상을 +일으킬 수 있습니다. 이 문제는 미디어 서버 프로세스의 컨텍스트 내에서 +원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 평가됩니다. </p> <table> @@ -298,7 +299,7 @@ MediaMuxer의 원격 코드 실행 취약성으로 인해 특별히 제작된 <p> 미디어 서버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 권한이 설정된 절차의 컨텍스트 내에서 임의의 코드를 실행할 수 -있습니다. 이 문제는 보통 타사 애플리케이션이 액세스할 수 없는 승격된 +있습니다. 이 문제는 보통 타사 애플리케이션에 액세스할 수 없는 승격된 권한으로의 로컬 액세스를 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다. </p> @@ -914,9 +915,9 @@ Wi-Fi 설정의 정보 공개 취약성으로 인해 특정 애플리케이션 각 보안 취약성에 관해 자세히 알아볼 수 있습니다. 여기에는 문제 설명, 심각도 근거 및 CVE, 관련 참조, 심각도, 업데이트된 Nexus 기기, 업데이트된 AOSP 버전 -(해당하는 경우), 신고된 날짜 등이 포함된 표가 제시됩니다. 가능한 경우 -AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 버그 ID에 -연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 +(해당하는 경우), 신고된 날짜 등이 포함된 표가 제시됩니다. 가능한 +경우 AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 +버그 ID에 연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 참조가 버그 ID 다음에 오는 번호에 연결됩니다. </p> @@ -1001,9 +1002,9 @@ Android One</td> <p> 커널 넷필터 하위 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 영구적인 -로컬 기기 손상을 일으킬 가능성이 있으므로 심각도 심각으로 평가되며, -기기를 수리하려면 운영체제를 재설치해야 할 수도 있습니다. +실행할 수 있습니다. 이 문제는 영구적인 로컬 기기 손상을 일으킬 +가능성이 있으므로 심각도 심각으로 평가되며, 기기를 수리하려면 +운영체제를 재설치해야 할 수도 있습니다. </p> <table> @@ -1099,9 +1100,9 @@ Android One</td> </tbody></table> <h3>커널 ASN.1 디코더의 권한 승격 취약성</h3> <p> -커널 ASN.1 디코더의 권한 승격 취약성으로 인해 -로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +커널 ASN.1 디코더의 권한 승격 취약성으로 인해 로컬 악성 +애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1230,7 +1231,7 @@ Qualcomm 하위 시스템 드라이버의 권한 승격 취약성으로 인해 <h3>Synaptics 터치스크린 드라이버의 권한 승격 취약성</h3> <p> Synaptics 터치스크린 드라이버의 권한 승격 취약성으로 인해 -로컬 악성 애플리케이션이 커널의 컨텍스트 내에서 임의의 코드를 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1266,7 +1267,7 @@ Synaptics 터치스크린 드라이버의 권한 승격 취약성으로 인해 <p> Qualcomm 카메라 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1303,7 +1304,7 @@ Qualcomm 카메라 드라이버의 권한 승격 취약성으로 인해 <p> Qualcomm 사운드 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1331,15 +1332,16 @@ Qualcomm 사운드 드라이버의 권한 승격 취약성으로 인해 </tbody></table> <p> * 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 -<a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 최신 바이너리 -드라이버에 포함되어 있습니다. +<a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 +포함되어 있습니다. </p> <h3>Qualcomm IPA 드라이버의 권한 승격 취약성</h3> <p> Qualcomm IPA 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1412,8 +1414,8 @@ Qualcomm 전원 드라이버의 권한 승격 취약성으로 인해 <p> Broadcom Wi-Fi 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 -침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다. </p> <table> @@ -1440,15 +1442,16 @@ Broadcom Wi-Fi 드라이버의 권한 승격 취약성으로 인해 </tbody></table> <p> * 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 -<a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 최신 바이너리 -드라이버에 포함되어 있습니다. +<a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 +포함되어 있습니다. </p> <h3>커널 eCryptfs 파일 시스템의 권한 승격 취약성</h3> <p> 커널 eCryptfs 파일 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1588,8 +1591,10 @@ Android One</td> </tbody></table> <h3>커널 ext4 파일 시스템의 서비스 거부(DoS) 취약성</h3> <p> -커널 ext4 파일 시스템의 서비스 거부 취약성으로 인해 공격자가 영구적인 로컬 서비스 거부를 유발할 수 있으며, 기기를 수리하려면 운영체제를 재설치해야 할 수 있습니다. 이 문제는 영구적인 로컬 서비스 거부 가능성이 있으므로 -심각도 높음으로 평가됩니다. +커널 ext4 파일 시스템의 서비스 거부 취약성으로 인해 공격자가 영구적인 +로컬 서비스 거부를 유발할 수 있으며, 기기를 수리하려면 운영체제를 +재설치해야 할 수 있습니다. 이 문제는 영구적인 로컬 서비스 거부 가능성이 +있으므로 심각도 높음으로 평가됩니다. </p> <table> @@ -1687,8 +1692,10 @@ Qualcomm 사운드 코덱의 정보 공개 취약성으로 인해 로컬 악성 </tbody></table> <h3>Qualcomm DMA 구성요소의 정보 공개 취약성</h3> <p> -Qualcomm DMA 구성요소의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 -권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다. +Qualcomm DMA 구성요소의 정보 공개 취약성으로 인해 로컬 +악성 애플리케이션이 권한 수준을 벗어난 데이터에 액세스할 수 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 +실행 가능하므로 심각도 보통으로 평가됩니다. </p> <table> @@ -1833,11 +1840,11 @@ Android One</td> <h3>커널 공유 메모리 하위 시스템의 권한 승격 취약성</h3> <p> -커널 공유 메모리 하위 시스템의 권한 승격 취약성으로 +커널 공유 메모리 하위 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 영구적인 로컬 기기 손상을 일으킬 -가능성이 있으므로 심각도 심각으로 평가되며, 기기를 수리하려면 -운영체제를 재설치해야 할 수도 있습니다. +실행할 수 있습니다. 이 문제는 영구적인 +로컬 기기 손상을 일으킬 가능성이 있으므로 심각도 심각으로 평가되며, +기기를 수리하려면 운영체제를 재설치해야 할 수도 있습니다. </p> <table> @@ -1866,7 +1873,7 @@ Android One</td> <p> Qualcomm 네트워크 구성요소의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다. </p> @@ -1904,26 +1911,28 @@ Qualcomm 네트워크 구성요소의 권한 승격 취약성으로 인해 <p> 2016-09-01 보안 패치 문자열 수준과 관련된 모든 문제는 2016-09-01 -보안 패치 수준 이상에서 해결됩니다. 2016-09-05 보안 패치 문자열 수준과 -관련된 모든 문제는 2016-09-05 보안 패치 수준 이상에서 해결됩니다. - 2016-09-06 보안 패치 문자열 수준과 관련된 모든 문제는 2016-09-06 +보안 패치 수준 이상에서 해결됩니다. 2016-09-05 보안 패치 문자열 +수준과 관련된 모든 문제는 2016-09-05 보안 패치 수준 이상에서 +해결됩니다. 2016-09-06 보안 패치 문자열 수준과 관련된 모든 문제는 2016-09-06 보안 패치 수준 이상에서 해결됩니다. 보안 패치 수준을 확인하는 방법은 -<a href="https://support.google.com/nexus/answer/4457705">고객센터</a>를 참조하세요. 이 업데이트를 포함하는 -기기 제조업체는 패치 문자열 수준을 다음과 같이 설정해야 합니다. +<a href="https://support.google.com/nexus/answer/4457705">고객센터</a>를 +참조하세요. 이 업데이트를 포함하는 기기 제조업체는 +패치 문자열 수준을 다음과 같이 설정해야 합니다. [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05] 또는 [ro.build.version.security_patch]:[2016-09-06] </p> <p> -<strong>2. 이 게시판에 세 가지 보안 패치 수준 문자열이 있는 이유가 무엇인가요?</strong> +<strong>2. 이 게시판에 세 가지 보안 패치 수준 문자열이 있는 이유가 +무엇인가요?</strong> </p> <p> 이 게시판에서는 Android 파트너가 모든 Android 기기에서 유사하게 발생하는 취약성 문제를 유연하게 해결하기 위한 세 가지 보안 패치 수준 문자열이 포함되어 -있습니다. Android 파트너는 이 게시판의 모든 문제를 수정하고 최신 보안 패치 수준 -문자열을 사용하는 것이 좋습니다. +있습니다. Android 파트너는 이 게시판의 모든 문제를 수정하고 최신 보안 패치 +수준 문자열을 사용하는 것이 좋습니다. </p> <p> @@ -1950,31 +1959,32 @@ Qualcomm 네트워크 구성요소의 권한 승격 취약성으로 인해 </p> <p> -3<strong>. 문제별로 영향을 받는 Nexus 기기는 어떻게 알 수 있나요?</strong> +3<strong>. 문제별로 영향을 받는 Nexus 기기는 어떻게 +알 수 있나요?</strong> </p> <p> <a href="#2016-09-01-details">2016-09-01</a>, <a href="#2016-09-05-details">2016-09-05</a>, <a href="#2016-09-06-details">2016-09-06</a> -보안 취약성 세부정보 -섹션에 있는 각 표의 <em>업데이트된 Nexus 기기</em> 열을 확인하면 됩니다. 이 열에는 -영향을 받는 Nexus 기기의 범위가 문제별로 업데이트되어 표시됩니다. 이 열에는 +보안 취약성 세부정보 섹션에 있는 각 표의 +<em>업데이트된 Nexus 기기</em> 열을 확인하면 됩니다. 이 열에는 영향을 받는 +Nexus 기기의 범위가 문제별로 업데이트되어 표시됩니다. 이 열에는 다음과 같은 옵션이 있습니다. </p> <ul> <li><strong>모든 Nexus 기기</strong>: 문제가 모든 Nexus 기기에 영향을 미치는 경우, 표의 <em>업데이트된 Nexus 기기</em> 열에 '모든 Nexus'라고 표시됩니다. -'모든 Nexus'는 다음과 같은 <a href="https://support.google.com/nexus/answer/4457705#nexus_devices">지원되는 -기기</a>를 -포함합니다. Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7(2013), +'모든 Nexus'는 다음과 같은 +<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">지원되는 +기기</a>를 포함합니다. Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, Pixel C</li> <li><strong>일부 Nexus 기기</strong>: 문제가 일부 Nexus 기기에 영향을 미치는 경우, 영향을 받는 Nexus 기기가 <em>업데이트된 Nexus 기기</em> 열에 표시됩니다.</li> -<li><strong>Nexus 기기 해당 없음</strong>: 문제가 Android 7.0 기기에 -영향을 미치지 않는 경우, 표의 <em>업데이트된 Nexus +<li><strong>Nexus 기기 해당 없음</strong>: 문제가 Android 7.0을 실행하는 +Nexus 기기에 영향을 미치지 않는 경우, 표의 <em>업데이트된 Nexus 기기</em> 열에 '없음'이라고 표시됩니다.</li> </ul> <p> @@ -2017,7 +2027,7 @@ Nexus 9, Android One, Nexus Player, Pixel C</li> <h2 id="revisions">수정 내역</h2> <ul> <li>2016년 9월 6일: 게시판이 게시됨</li> - <li>2016년 9월 7일: 게시판이 수정되어 AOSP 링크가 포함됨</li> + <li>2016년 9월 7일: 게시판이 수정되어 AOSP 링크 포함됨</li> <li>2016년 9월 12일: 게시판이 수정되어 CVE-2016-3861의 속성이 업데이트되고 CVE-2016-3877이 삭제됨</li> </ul> |