diff options
Diffstat (limited to 'ko/security/bulletin/2017-04-01.html')
-rw-r--r-- | ko/security/bulletin/2017-04-01.html | 117 |
1 files changed, 59 insertions, 58 deletions
diff --git a/ko/security/bulletin/2017-04-01.html b/ko/security/bulletin/2017-04-01.html index 2e28f443..71712a61 100644 --- a/ko/security/bulletin/2017-04-01.html +++ b/ko/security/bulletin/2017-04-01.html @@ -31,21 +31,22 @@ Nexus 기기의 보안 업데이트가 출시되었습니다. Google 기기 펌 패치로 연결되는 링크도 포함되어 있습니다.</p> <p>이 중 가장 심각한 문제는 미디어 파일을 처리할 때 이메일, 웹 탐색, MMS 등 여러 방법을 통해 대상 기기에서 -원격으로 코드를 실행할 수 있게 하는 심각한 보안 취약성입니다. <a href="/security/overview/updates-resources.html#severity">심각도 평가</a>는 +원격으로 코드를 실행할 수 있게 하는 심각한 보안 취약성입니다. <a href="/security/overview/updates-resources.html#severity">심각도 +평가</a>는 개발 목적으로 플랫폼 및 서비스 완화를 사용할 수 없거나 -우회에 성공한 경우 취약성 악용으로 인해 대상 기기가 받는 영향을 -기준으로 내려집니다.</p> +우회에 성공한 경우 취약성 악용으로 인해 대상 기기가 +받는 영향을 기준으로 내려집니다.</p> <p>실제 고객이 새로 보고된 이러한 문제로 인해 악용당했다는 신고는 접수되지 않았습니다. <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>과 같이 -Android 플랫폼의 보안을 개선하는 <a href="/security/enhancements/index.html">Android -보안 플랫폼 보호</a> 및 서비스 보호 기능에 관해 자세히 알아보려면 +Android 플랫폼의 보안을 개선하는 <a href="/security/enhancements/index.html">Android 보안 플랫폼 보호</a> +및 서비스 보호 기능에 관해 자세히 알아보려면 <a href="#mitigations">Android 및 Google 서비스 완화</a> 섹션을 참조하세요.</p> <p>모든 고객은 기기에서 이 업데이트를 수락하는 것이 좋습니다.</p> <h2 id="announcements">공지사항</h2> <ul> -<li>이 게시판에는 Android 파트너가 모든 Android 기기에서 유사하게 발생하는 -취약성 문제의 일부를 더욱 빠르고 유연하게 해결하기 위한 +<li>이 게시판에는 Android 파트너가 모든 Android 기기에서 유사하게 +발생하는 취약성 문제의 일부를 더욱 빠르고 유연하게 해결하기 위한 두 가지 보안 패치 수준 문자열이 포함되어 있습니다. 자세한 내용은 <a href="#common-questions-and-answers">일반적인 질문 및 답변</a>을 참조하세요. <ul> @@ -76,11 +77,11 @@ Android 플랫폼의 보안을 개선하는 <a href="/security/enhancements/inde Google Play 외부에서 가져온 애플리케이션을 설치하는 사용자에게 특히 중요합니다. Google Play 내에서 기기 루팅 도구는 금지되어 있지만 사용자가 감지된 루팅 애플리케이션을 설치하려 하면 출처에 상관없이 - 앱 인증이 경고를 표시합니다. 또한 앱 인증은 + 앱 인증이 경고를 표시합니다. 또한 앱 인증에서는 권한 승격 취약성을 악용하는 것으로 알려진 악성 애플리케이션을 식별하고 차단합니다. 이러한 애플리케이션이 이미 설치된 경우 앱 인증에서 사용자에게 이를 알리고 감지된 애플리케이션을 삭제하려고 시도합니다.</li> - <li>Google 행아웃과 메신저 애플리케이션은 미디어 서버와 같은 프로세스에 + <li>Google 행아웃과 메신저 애플리케이션에서는 미디어 서버와 같은 프로세스에 미디어를 자동으로 전달하지 않습니다.</li> </ul> @@ -138,8 +139,8 @@ Android 플랫폼의 보안을 개선하는 <a href="/security/enhancements/inde <li>Alibaba Inc.의 Weichao Sun(<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2017-0549</li> <li>Qihoo 360 Technology Co. Ltd. Alpha Team의 - Wenlin Yang(<a href="https://twitter.com/wenlin_yang">@wenlin_yang</a>), Guang Gong(<a href="https://twitter.com/oldfresher">@oldfresher</a>), - Hao Chen: CVE-2017-0580, CVE-2017-0577</li> + Wenlin Yang(<a href="https://twitter.com/wenlin_yang">@wenlin_yang</a>), + Guang Gong(<a href="https://twitter.com/oldfresher">@oldfresher</a>), HaoChen: CVE-2017-0580, CVE-2017-0577</li> <li>Qihoo 360 Technology Co. Ltd., Chengdu Security Response Center의 <a href="http://weibo.com/ele7enxxh">Zinuo Han</a>: CVE-2017-0548</li> <li>Google의 Zubin Mithra: CVE-2017-0462</li> @@ -150,17 +151,16 @@ Android 플랫폼의 보안을 개선하는 <a href="/security/enhancements/inde <p>다음 섹션에서는 2017-04-01 패치 수준에 적용되는 각 보안 취약성에 관해 자세히 알아볼 수 있습니다.여기에는 문제 설명, 심각도 근거 및 CVE, 관련 참조, 심각도, 업데이트된 Google 기기, -업데이트된 AOSP 버전(해당하는 경우), 신고된 날짜가 포함된 표가 제시됩니다. 가능한 경우 -AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 버그 ID에 -연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 +업데이트된 AOSP 버전(해당하는 경우), 신고된 날짜가 포함된 표가 제시됩니다. 가능한 경우 AOSP 변경사항 목록과 같이 문제를 해결한 +공개 변경사항을 버그 ID에 연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 참조가 버그 ID 다음에 오는 번호에 연결되어 있습니다.</p> <h3 id="rce-in-mediaserver">미디어 서버의 원격 코드 실행 취약성</h3> <p>미디어 서버의 원격 코드 실행 취약성으로 인해 특별히 제작된 파일을 사용하는 공격자가 미디어 파일 및 데이터 처리 중에 메모리 손상을 일으킬 수 -있습니다. 이 문제는 미디어 서버 프로세스 내에서 원격 코드를 실행할 가능성이 있으므로 -심각도 심각으로 평가됩니다.</p> +있습니다. 이 문제는 미디어 서버 프로세스의 컨텍스트 내에서 +원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 평가됩니다.</p> <table> <colgroup><col width="18%" /> @@ -252,11 +252,11 @@ AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 <h3 id="eop-in-audioserver">오디오 서버의 권한 승격 취약성</h3> -<p>오디오 서버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 -권한이 설정된 프로세스의 컨텍스트 내에서 임의의 코드를 실행할 수 -있습니다. 이 문제는 보통 타사 애플리케이션이 액세스할 수 없는 승격된 -권한으로의 로컬 액세스 권한을 확보하는 데 사용될 수 있으므로 심각도 높음으로 -평가됩니다.</p> +<p>오디오 서버의 권한 승격 취약성으로 인해 로컬 악성 +애플리케이션이 권한이 설정된 절차의 컨텍스트 내에서 임의의 +코드를 실행할 수 있습니다. 이 문제는 보통 타사 애플리케이션이 +액세스할 수 없는 승격된 권한으로의 로컬 액세스 권한을 확보하는 데 +사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> <table> <colgroup><col width="18%" /> @@ -619,9 +619,8 @@ AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 <p>다음 섹션에서는 2017-04-05 패치 수준에 적용되는 각 보안 취약성에 관해 자세히 알아볼 수 있습니다. 여기에는 문제 설명, 심각도 근거 및 CVE, 관련 참조, 심각도, 업데이트된 Google 기기, 업데이트된 -AOSP 버전(해당하는 경우), 신고된 날짜가 포함된 표가 제시됩니다. 가능한 경우 -AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 버그 ID에 -연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 +AOSP 버전(해당하는 경우), 신고된 날짜가 포함된 표가 제시됩니다. 가능한 경우 AOSP 변경사항 목록과 같이 문제를 해결한 +공개 변경사항을 버그 ID에 연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 참조가 버그 ID 다음에 오는 번호에 연결되어 있습니다.</p> <h3 id="rce-in-broadcom-wi-fi-firmware">Broadcom Wi-Fi 펌웨어의 원격 코드 실행 취약성</h3> @@ -747,7 +746,7 @@ Nexus Player</td> <td>2016년 7월 16일</td> </tr> </tbody></table> -<p>* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +<p>* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 <a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 최신 바이너리 드라이버에 포함되어 있습니다.</p> @@ -793,9 +792,9 @@ Nexus Player</td> 권한 승격 취약성</h3> <p>커널 ION 하위 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 영구적인 -로컬 기기 손상을 일으킬 가능성이 있으므로 심각도 심각으로 평가되며, -기기를 수리하려면 운영체제를 재설치해야 할 수도 있습니다.</p> +실행할 수 있습니다. 이 문제는 영구적인 로컬 기기 손상을 +일으킬 가능성이 있으므로 심각도 심각으로 평가되며, 기기를 +수리하려면 운영체제를 재설치해야 할 수도 있습니다.</p> <table> <colgroup><col width="19%" /> @@ -820,7 +819,7 @@ Nexus Player</td> <td>2017년 1월 12일</td> </tr> </tbody></table> -<p>* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +<p>* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 <a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 최신 바이너리 드라이버에 포함되어 있습니다.</p> @@ -945,8 +944,8 @@ Nexus Player</td> 권한 승격 취약성</h3> <p>커널 사운드 하위 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 -가능하므로 심각도 높음으로 평가됩니다.</p> +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 +프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -1026,8 +1025,8 @@ Nexus Player</td> 권한 승격 취약성</h3> <p>MediaTek 열 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 -가능하므로 심각도 높음으로 평가됩니다.</p> +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 +심각도 높음으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -1098,7 +1097,7 @@ Nexus Player</td> 권한 승격 취약성</h3> <p>Broadcom Wi-Fi 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 -있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다.</p> <table> @@ -1189,9 +1188,9 @@ Nexus Player</td> <h3 id="eop-in-qualcomm-wi-fi-driver">Qualcomm Wi-Fi 드라이버의 권한 승격 취약성</h3> <p>Qualcomm Wi-Fi 드라이버의 권한 승격 취약성으로 인해 -로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 -있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 -가능하므로 심각도 높음으로 평가됩니다.</p> +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -1289,8 +1288,8 @@ QC-CR#1104067</a></td> 엔진 드라이버의 권한 승격 취약성</h3> <p>Qualcomm 암호화 엔진 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 -가능하므로 심각도 높음으로 평가됩니다.</p> +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 높음으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -1392,8 +1391,8 @@ QC-CR#1103089</a></td> 권한 승격 취약성</h3> <p>Qualcomm 사운드 코덱 드라이버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 -실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 -가능하므로 심각도 높음으로 평가됩니다.</p> +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 +심각도 높음으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -2141,8 +2140,8 @@ QC-CR#1097878</a></td> 정보 공개 취약성</h3> <p>Qualcomm 동영상 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 -액세스할 수 있습니다. 이 문제는 먼저 -권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> +액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -2172,7 +2171,7 @@ QC-CR#1103689</a></td> 정보 공개 취약성</h3> <p>Qualcomm USB 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 액세스할 수 있습니다. -이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 가능하므로 +이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> <table> @@ -2203,8 +2202,8 @@ QC-CR#1102418</a></td> 정보 공개 취약성</h3> <p>Qualcomm 사운드 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 -액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 -실행 가능하므로 심각도 보통으로 평가됩니다.</p> +액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -2229,11 +2228,12 @@ QC-CR#1102418</a></td> </tr> </tbody></table> -<h3 id="id-in-qualcomm-spmi-driver">Qualcomm SPMI 드라이버의 정보 공개 취약성</h3> +<h3 id="id-in-qualcomm-spmi-driver">Qualcomm SPMI 드라이버의 +정보 공개 취약성</h3> <p>Qualcomm SPMI 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 -액세스할 수 있습니다. 이 문제는 먼저 -권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> +액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -2263,8 +2263,8 @@ QC-CR#1106842</a></td> 정보 공개 취약성</h3> <p>NVIDIA 암호화 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 -액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 -실행 가능하므로 심각도 보통으로 평가됩니다.</p> +액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.</p> <table> <colgroup><col width="19%" /> @@ -2452,7 +2452,7 @@ Qualcomm AMSS 보안 게시판을 통해 배포되었습니다. 각 취약성의 취약성의 영향을 받지 않습니다.</p> <h2 id="common-questions-and-answers">일반적인 질문 및 답변</h2> -<p>이 섹션에서는 게시판을 읽은 뒤 제기될 수 있는 일반적인 질문에 대한 답변을 제시합니다.</p> +<p>이 섹션에서는 게시판을 읽은 뒤 제기될 수 있는 일반적인 질문의 답변을 제시합니다.</p> <p><strong>1. 내 기기가 업데이트되어 이 문제가 해결되었는지 어떻게 알 수 있나요?</strong></p> <p>기기의 보안 패치 수준을 확인하는 방법을 알아보려면 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 및 Nexus 업데이트 일정</a>의 @@ -2472,7 +2472,8 @@ Qualcomm AMSS 보안 게시판을 통해 배포되었습니다. 각 취약성의 <p><strong>2. 이 게시판에 두 가지 보안 패치 수준이 있는 이유가 무엇인가요?</strong></p> <p>이 게시판에는 Android 파트너가 모든 Android 기기에서 유사하게 발생하는 -취약성 문제의 일부를 더욱 빠르고 유연하게 해결하도록 하기 위해 두 가지 보안 패치 수준이 포함되어 있습니다. Android 파트너는 이 게시판에 언급된 문제를 모두 수정하고 +취약성 문제의 일부를 더욱 빠르고 유연하게 해결하기 위한 +두 가지 보안 패치 수준이 포함되어 있습니다. Android 파트너는 이 게시판에 언급된 문제를 모두 수정하고 최신 보안 패치 수준을 사용하는 것이 좋습니다.</p> <ul> <li>2017년 4월 1일 보안 패치 수준을 사용하는 기기는 이 보안 패치 수준과 @@ -2488,8 +2489,8 @@ Qualcomm AMSS 보안 게시판을 통해 배포되었습니다. 각 취약성의 <p><a href="#2017-04-01-details">2017-04-01</a> 및 <a href="#2017-04-05-details">2017-04-05</a> 보안 취약성 세부정보 섹션에 있는 각 표의 <em>업데이트된 Google -기기</em> 열을 확인하면 됩니다. 이 열에는 영향을 받는 Google 기기의 범위가 문제별로 -업데이트되어 표시됩니다. 이 열에는 다음과 같은 옵션이 있습니다.</p> +기기</em> 열을 확인하면 됩니다. 이 열에는 영향을 받는 Google 기기의 범위가 +문제별로 업데이트되어 표시됩니다. 이 열에는 다음과 같은 옵션이 있습니다.</p> <ul> <li><strong>모든 Google 기기</strong>: 문제가 모든 Google 기기 및 Pixel 기기에 영향을 미치는 경우, 표의 <em>업데이트된 Google 기기</em> 열에 @@ -2504,9 +2505,9 @@ Qualcomm AMSS 보안 게시판을 통해 배포되었습니다. 각 취약성의 표시됩니다. </li> </ul> <p><strong>4. 참조 열의 항목이 매핑하는 대상은 무엇인가요?</strong></p> -<p>취약성 세부정보 표의 <em>참조</em> 열에 있는 항목은 참조 값이 속한 -조직을 나타내는 접두어를 포함할 수 있습니다. 이러한 접두어는 -다음과 같이 매핑됩니다.</p> +<p>취약성 세부정보 표의 <em>참조</em> 열에 있는 항목은 +참조 값이 속한 조직을 나타내는 접두어를 포함할 수 +있습니다. 이 접두어는 다음과 같이 매핑됩니다.</p> <table> <tbody><tr> <th>접두어</th> |