| <html devsite><head> |
| <title>Nexus 보안 게시판 - 2015년 12월</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>2015년 12월 7일 게시됨 | 2016년 3월 7일 업데이트됨</em></p> |
| |
| <p>Google의 Android 보안 게시판 월간 출시 과정의 일환으로 |
| 무선 업데이트를 통해 Nexus 기기 보안 업데이트가 출시되었습니다. |
| 또한 Nexus 펌웨어 이미지도 |
| <a href="https://developers.google.com/android/nexus/images">Google 개발자 사이트</a>에 출시되었습니다. |
| 빌드 LMY48Z 이상 및 2015년 12월 1일 이후의 보안 패치 수준이 포함된 |
| Android 6.0에서 문제가 해결되었습니다. 자세한 내용은 <a href="#common_questions_and_answers">일반적인 질문 및 답변</a> 섹션을 참조하세요.</p> |
| |
| <p>2015년 11월 2일 이전에 파트너에게 이 문제에 대한 알림이 전달되고 |
| 업데이트가 제공되었습니다. 해당하는 경우, 소스 코드 패치가 Android 오픈소스 프로젝트(AOSP) |
| 저장소에 배포되었습니다.</p> |
| |
| <p>이 중 가장 심각한 문제는 미디어 파일을 처리할 때 |
| 이메일, 웹 탐색, MMS 등 여러 방법을 통해 대상 기기에서 |
| 원격으로 코드를 실행할 수 있게 하는 심각한 보안 취약성입니다. <a href="/security/overview/updates-resources.html#severity">심각도 |
| 평가</a>는 |
| 개발 목적으로 플랫폼 및 서비스 완화를 사용할 수 없거나 |
| 우회에 성공한 경우 취약성 악용으로 인해 대상 기기가 받는 영향을 |
| 기준으로 내려집니다.</p> |
| |
| <p>실제 고객이 새로 보고된 이러한 문제로 인해 악용당했다는 신고는 |
| 접수되지 않았습니다. SafetyNet과 같이 Android 플랫폼의 보안을 개선하는 <a href="/security/enhancements/index.html">Android 보안 플랫폼 보호</a> 및 서비스 보호 기능에 관해 자세히 알아보려면 <a href="#mitigations">완화</a> 섹션을 참조하세요. 모든 고객은 기기에서 이 업데이트를 수락하는 것이 |
| 좋습니다.</p> |
| |
| <h2 id="mitigations">완화</h2> |
| |
| <p>다음은 SafetyNet과 같은 <a href="/security/enhancements/index.html">Android 보안 플랫폼</a> 및 서비스 보호 기능에서 제공하는 완화를 요약한 내용입니다. 이러한 기능을 통해 |
| Android에서 보안 취약성이 악용될 가능성을 줄일 수 |
| 있습니다.</p> |
| |
| <ul> |
| <li> Android 플랫폼 최신 버전의 향상된 기능으로 Android의 여러 문제를 |
| 악용하기 더욱 어려워졌습니다. 가능한 경우 모든 사용자는 |
| Android 최신 버전으로 업데이트하는 것이 좋습니다.</li> |
| <li> Android 보안팀에서는 유해할 수 있는 애플리케이션이 설치될 때 |
| 경고를 보내는 앱 인증 및 SafetyNet을 사용하여 악용사례를 적극적으로 |
| 모니터링합니다. Google Play 내에서 기기 루팅 도구는 금지되어 있습니다. Google Play |
| 외부에서 가져온 애플리케이션을 설치하는 사용자를 보호하기 위해 앱 인증이 |
| 기본적으로 사용 설정되며 알려진 루팅 애플리케이션이 감지되면 경고를 표시합니다. 앱 |
| 인증에서는 권한 승격 취약성을 악용하는 것으로 알려진 악성 애플리케이션을 |
| 식별하고 차단합니다. 이러한 애플리케이션이 |
| 이미 설치된 경우 앱 인증에서 사용자에게 이를 알리고 |
| 애플리케이션 삭제를 시도합니다.</li> |
| <li> Google 행아웃과 메신저 애플리케이션은 미디어 서버와 같은 프로세스에 |
| 미디어를 자동으로 전달하지 않습니다.</li> |
| </ul> |
| |
| <h2 id="acknowledgements">감사의 말씀</h2> |
| |
| <p>참여해 주신 다음 연구원에게 감사드립니다.</p> |
| |
| <ul> |
| <li> Chrome 보안팀의 Abhishek Arya, Oliver Chang, Martin |
| Barbella: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, |
| CVE-2015-6619, CVE-2015-6633, CVE-2015-6634 |
| </li><li> <a href="http://k33nteam.org/">KeenTeam</a>(<a href="https://twitter.com/k33nteam">@K33nTeam</a>)의 Flanker(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>): CVE-2015-6620 |
| </li><li> <a href="http://www.360.cn">Qihoo 360 Technology Co.Ltd</a>의 Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>, higongguang@gmail.com): CVE-2015-6626 |
| </li><li> EmberMitre Ltd의 Mark Carter(<a href="https://twitter.com/hanpingchinese">@hanpingchinese</a>): CVE-2015-6630 |
| </li><li> Michał Bednarski(<a href="https://github.com/michalbednarski">https://github.com/michalbednarski</a>): CVE-2015-6621 |
| </li><li> Google Project Zero의 Natalie Silvanovich: CVE-2015-6616 |
| </li><li> Trend Micro의 Peter Pi: CVE-2015-6616, CVE-2015-6628 |
| </li><li> <a href="http://k33nteam.org/">KeenTeam</a>(<a href="https://twitter.com/k33nteam">@K33nTeam</a>)의 Qidan He(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>), Marco Grassi(<a href="https://twitter.com/marcograss">@marcograss</a>): CVE-2015-6622 |
| </li><li> Tzu-Yin(Nina) Tai: CVE-2015-6627 |
| </li><li> 아르헨티나 부에노스아이레스 Fundación Dr. Manuel Sadosky, |
| Programa STIC의 Joaquín Rinaudo(<a href="https://twitter.com/xeroxnir">@xeroxnir</a>): CVE-2015-6631 |
| </li><li>Baidu X-Team의 Wangtao(neobyte): CVE-2015-6626 |
| </li></ul> |
| |
| <h2 id="security_vulnerability_details">보안 취약성 세부정보</h2> |
| |
| <p>다음 섹션에서는 2015-12-01 패치 수준에 적용되는 |
| 각 보안 취약성에 관해 자세히 알아볼 수 있습니다. |
| 여기에는 문제에 대한 설명, 심각도 근거 및 CVE, |
| 관련 버그, 심각도, 업데이트된 버전, 신고된 날짜가 포함된 표가 제시됩니다. |
| 가능한 경우 문제를 해결한 AOSP 변경사항을 버그 ID에 연결합니다. |
| 하나의 버그와 관련된 변경사항이 여러 개인 경우 |
| 추가 AOSP 참조가 버그 ID 다음에 오는 번호에 연결됩니다.</p> |
| |
| <h3 id="remote_code_execution_vulnerabilities_in_mediaserver">미디어 서버의 원격 코드 실행 취약성</h3> |
| |
| <p>특별히 제작된 파일을 미디어 파일 및 데이터 처리하는 동안 |
| 미디어 서버의 취약성을 통해 공격자가 메모리 손상을 일으키고 |
| 원격 코드가 미디어 서버 프로세스로 실행되도록 할 수 있습니다.</p> |
| |
| <p>문제의 기능은 운영체제의 핵심 부분이며, 여러 애플리케이션에서 |
| 이 기능이 원격 콘텐츠, 특히 MMS와 미디어의 브라우저 재생에 |
| 접근할 수 있게 허용합니다.</p> |
| |
| <p>이 문제는 미디어 서버 서비스 내에서 원격 코드를 실행할 가능성이 있으므로 |
| 심각도 심각으로 평가됩니다. 미디어 서버 서비스는 |
| 오디오와 동영상 스트림뿐 아니라 타사 앱이 일반적으로 |
| 액세스할 수 없는 권한에 액세스할 수 있습니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td rowspan="5">CVE-2015-6616</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/257b3bc581bbc65318a4cc2d3c22a07a4429dc1d">ANDROID-24630158</a></td> |
| <td>심각</td> |
| <td>6.0 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| <tr> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/0d35dd2068d6422c3c77fb68f248cbabf3d0b10c">ANDROID-23882800</a></td> |
| <td>심각</td> |
| <td>6.0 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| <tr> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/dedaca6f04ac9f95fabe3b64d44cd1a2050f079e">ANDROID-17769851</a></td> |
| <td>심각</td> |
| <td>5.1 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| <tr> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/5d101298d8b0a78a1dc5bd26dbdada411f4ecd4d">ANDROID-24441553</a></td> |
| <td>심각</td> |
| <td>6.0 이하</td> |
| <td>2015년 9월 22일</td> |
| </tr> |
| <tr> |
| <td><a href="https://android.googlesource.com/platform%2Fexternal%2Flibavc/+/2ee0c1bced131ffb06d1b430b08a202cd3a52005">ANDROID-24157524</a></td> |
| <td>심각</td> |
| <td>6.0</td> |
| <td>2015년 9월 8일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="remote_code_execution_vulnerability_in_skia">Skia의 원격 코드 실행 취약성</h3> |
| |
| <p>Skia 구성요소의 취약성은 특별히 제작된 파일을 처리하는 동안 |
| 악용되어 메모리 손상을 일으키고 권한 있는 프로세스에서 |
| 원격 코드 실행으로 이어질 수 있습니다. 이 문제는 미디어 파일을 |
| 처리할 때 이메일과 웹 탑색, MMS 등 다양한 공격을 통해 |
| 원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 |
| 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6617</td> |
| <td><a href="https://android.googlesource.com/platform%2Fexternal%2Fskia/+/a1d8ac0ac0af44d74fc082838936ec265216ab60">ANDROID-23648740</a></td> |
| <td>심각</td> |
| <td>6.0 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_in_kernel">커널의 권한 승격</h3> |
| |
| <p>시스템 커널의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 |
| 기기의 루트 컨텍스트 내에서 임의의 코드를 실행할 수 |
| 있습니다. 이 문제는 영구적인 로컬 기기 손상을 일으킬 |
| 가능성이 있으므로 심각도 심각으로 평가되며, 기기를 수리하려면 |
| 운영체제를 재설치해야 합니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6619</td> |
| <td><a href="https://android.googlesource.com/device%2Fhtc%2Fflounder-kernel/+/25d3e5d71865a7c0324423fad87aaabb70e82ee4">ANDROID-23520714</a></td> |
| <td>심각</td> |
| <td>6.0 이하</td> |
| <td>2015년 6월 7일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="remote_code_execution_vulnerabilities_in_display_driver"> |
| 디스플레이 드라이버의 원격 코드 실행 취약성</h3> |
| |
| <p>미디어 파일을 처리할 때 미디어 서버에 의해 로드되는 사용자 모드 |
| 드라이버에서 메모리 손상을 일으키고 임의의 코드를 |
| 잠재적으로 실행시킬 수 있는 디스플레이 드라이버에 취약성이 있습니다. 이 문제는 |
| 미디어 파일을 처리할 때 이메일과 웹 탑색, MMS 등 다양한 공격을 통해 |
| 원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 |
| 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6633</td> |
| <td>ANDROID-23987307*</td> |
| <td>심각</td> |
| <td>6.0 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-6634</td> |
| <td><a href="https://android.googlesource.com/platform%2Fhardware%2Fqcom%2Fdisplay/+/25016fd2865943dec1a6b2b167ef85c772fb90f7">ANDROID-24163261</a> [<a href="https://android.googlesource.com/platform%2Fhardware%2Fqcom%2Fdisplay/+/0787bc222a016e944f01492c2dd04bd03c1da6af">2</a>] [<a href="https://android.googlesource.com/platform%2Fhardware%2Fqcom%2Fdisplay/+/95c2601aab7f27505e8b086fdd1f1dce31091e5d">3</a>] [<a href="https://android.googlesource.com/platform%2Fhardware%2Fqcom%2Fdisplay/+/45660529af1f4063a00e84aa2361649e6a9a878c">4</a>]</td> |
| <td>심각</td> |
| <td>5.1 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| <p> *이 문제를 해결하기 위한 패치는 AOSP에 포함되어 있지 않습니다. 업데이트는 |
| <a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 제공되는 Nexus 기기용 최신 바이너리 드라이버에 포함되어 있습니다.</p> |
| |
| <h3 id="remote_code_execution_vulnerability_in_bluetooth">블루투스의 원격 코드 실행 취약성</h3> |
| |
| <p>Android 블루투스 구성요소의 취약성을 악용하면 원격으로 코드를 실행할 수 |
| 있습니다. 하지만 이를 위해 몇 가지 단계를 직접 수행해야 합니다. |
| 이를 수행하려면 개인 영역 네트워크(PAN) 프로필이 사용 설정되고 |
| (예: 블루투스 테더링 사용) 기기가 페어링된 후 페어링이 완료된 |
| 기기가 필요합니다. 원격 코드 실행은 블루투스 서비스의 |
| 권한에 달려 있습니다. 기기는 로컬 근접 상황에서 페어링이 완료되어 있는 기기가 있을 때에만 이 문제에 취약합니다.</p> |
| |
| <p>여러 수동 단계를 거쳤으며, 이전에 기기를 페어링하도록 허용된 공격자가 |
| 가까운 경우에만 원격으로 임의의 |
| 코드를 실행할 수 있기 때문에 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>버그 </th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6618</td> |
| <td>ANDROID-24595992*</td> |
| <td>높음</td> |
| <td>4.4, 5.0, 5.1</td> |
| <td>2015년 9월 28일</td> |
| </tr> |
| </tbody></table> |
| <p> * 이 문제에 대한 패치는 AOSP에 포함되어 있지 않습니다. 업데이트는 <a href="https://developers.google.com/android/nexus/drivers">Google 개발자 사이트</a>에서 |
| 제공되는 Nexus 기기용 최신 바이너리 드라이버에 포함되어 있습니다.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerabilities_in_libstagefright"> |
| libstagefright의 권한 승격 취약성</h3> |
| |
| <p>libstagefright에 로컬 악성 애플리케이션이 미디어 서버 |
| 서비스에서 임의의 코드를 실행할 수 있게 하는 여러 |
| 취약성이 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 |
| 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 |
| 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td rowspan="2">CVE-2015-6620</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/2b8cd9cbb3e72ffd048ffdd1609fac74f61a22ac">ANDROID-24123723</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>2015년 9월 10일</td> |
| </tr> |
| <tr> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/77c185d5499d6174e7a97b3e1512994d3a803151">ANDROID-24445127</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>2015년 9월 2일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_systemui"> |
| SystemUI의 권한 승격 취약성</h3> |
| |
| <p>시계 애플리케이션을 사용하여 알람을 설정할 때 SystemUI 구성요소의 |
| 취약성이 승격된 권한 수준에서 애플리케이션의 작업 수행을 허용할 수 |
| 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 |
| 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 |
| 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6621</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/e70e8ac93807c51240b2cd9afed35bf454ea00b3">ANDROID-23909438</a></td> |
| <td>높음</td> |
| <td>5.0, 5.1, 6.0</td> |
| <td>2015년 9월 7일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_native_frameworks_library">기본 프레임워크 라이브러리의 정보 공개 취약성</h3> |
| |
| <p>Android 기본 프레임워크 라이브러리의 정보 공개 취약성으로 인해 |
| 공격자가 플랫폼을 악용하기 어렵도록 마련된 보안 장치를 |
| 우회할 수 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 |
| 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6622</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fnative/+/5d17838adef13062717322e79d4db0b9bb6b2395">ANDROID-23905002</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>2015년 9월 7일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_wi-fi">Wi-Fi의 권한 승격 취약성</h3> |
| |
| <p>Wi-Fi의 권한 승격 취약성을 악용하여 로컬 악성 애플리케이션이 |
| 권한이 승격된 시스템 서비스 내에서 임의의 코드를 실행할 수 |
| 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 |
| 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6623</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fopt%2Fnet%2Fwifi/+/a15a2ee69156fa6fff09c0dd9b8182cb8fafde1c">ANDROID-24872703</a></td> |
| <td>높음</td> |
| <td>6.0</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_system_server">시스템 서버의 권한 승격 취약성</h3> |
| |
| <p>시스템 서버 구성요소의 권한 승격 취약성으로 인해 |
| 로컬 악성 애플리케이션이 서비스 관련 정보에 액세스할 수 |
| 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 |
| 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6624</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/f86a441cb5b0dccd3106019e578c3535498e5315">ANDROID-23999740</a></td> |
| <td>높음</td> |
| <td>6.0</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerabilities_in_libstagefright"> |
| libstagefright의 정보 공개 취약성</h3> |
| |
| <p>미디어 서버와 통신할 때 공격자가 플랫폼을 악용하기 |
| 어렵도록 마련된 보안 장치를 우회할 수 있게 하는 |
| libstagefright의 정보 공개 취약성이 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 |
| <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 타사 애플리케이션이 액세스할 수 없는 |
| 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6632</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/5cae16bdce77b0a3ba590b55637f7d55a2f35402">ANDROID-24346430</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-6626</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/8dde7269a5356503d2b283234b6cb46d0c3f214e">ANDROID-24310423</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>2015년 9월 2일</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-6631</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/7ed8d1eff9b292b3c65a875b13a549e29654534b">ANDROID-24623447</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>2015년 8월 21일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_audio">오디오의 정보 공개 취약성</h3> |
| |
| <p>오디오 파일을 처리하는 동안 오디오 구성요소의 취약성이 악용될 수 |
| 있습니다. 이 취약성은 특별히 제작된 파일을 처리하는 동안 |
| 로컬 악성 애플리케이션이 정보를 공개하도록 할 수 있습니다. |
| 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 |
| 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6627</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/8c987fa71326eb0cc504959a5ebb440410d73180">ANDROID-24211743</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_media_framework">미디어 프레임워크의 정보 공개 취약성</h3> |
| |
| <p>미디어 서버와 통신할 때 공격자가 플랫폼을 악용하기 |
| 어렵도록 마련된 보안 장치를 우회할 수 있게 하는 |
| 미디어 프레임워크의 정보 공개 취약성이 있습니다. 이 문제는 |
| <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 타사 애플리케이션이 액세스할 수 없는 |
| 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6628</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/5e7e87a383fdb1fece977097a7e3cc51b296f3a0">ANDROID-24074485</a></td> |
| <td>높음</td> |
| <td>6.0 이하</td> |
| <td>2015년 9월 8일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_wi-fi">Wi-Fi의 정보 공개 취약성</h3> |
| |
| <p>Wi-Fi 구성요소의 취약성으로 공격자가 Wi-Fi 서비스 정보 공개를 유발할 수 있습니다. 이 문제는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">서명</a> |
| 또는 <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a> 권한과 같이 타사 애플리케이션이 액세스할 수 없는 승격된 권한을 부여하는 데 사용될 수 있으므로 심각도 높음으로 |
| 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6629</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fopt%2Fnet%2Fwifi/+/8b41627f7411306a0c42867fb526fa214f2991cd">ANDROID-22667667</a></td> |
| <td>높음</td> |
| <td>5.1 및 5.0</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_system_server19">시스템 서버의 권한 승격 취약성</h3> |
| |
| <p>시스템 서버의 권한 승격 취약성으로 인해 |
| 로컬 악성 애플리케이션이 Wi-Fi 서비스 관련 정보에 액세스할 수 |
| 있습니다. 이 문제는 '<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">위험한</a>' 권한을 부적절한 방식으로 얻는 데 사용될 수 있으므로 |
| 심각도 보통으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6625</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fopt%2Fnet%2Fwifi/+/29fa7d2ffc3bba55173969309e280328b43eeca1">ANDROID-23936840</a></td> |
| <td>보통</td> |
| <td>6.0</td> |
| <td>Google 사내용</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_systemui">SystemUI의 정보 공개 취약성</h3> |
| |
| <p>SystemUI의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 |
| 스크린샷에 액세스할 수 있습니다. 이 문제는 '<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">위험한</a>' 권한을 |
| 부적절한 방식으로 얻는 데 사용될 수 있으므로 심각도 보통으로 평가됩니다.</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>AOSP 링크가 포함된 버그</th> |
| <th>심각도</th> |
| <th>업데이트된 버전</th> |
| <th>신고된 날짜</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-6630</td> |
| <td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/51c2619c7706575a171cf29819db14e91b815a62">ANDROID-19121797</a></td> |
| <td>보통</td> |
| <td>5.0, 5.1, 6.0</td> |
| <td>2015년 1월 22일</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="common_questions_and_answers">일반적인 질문 및 답변</h3> |
| |
| <p>이 섹션에서는 게시판을 읽은 뒤 제기될 수 있는 일반적인 질문의 답변을 |
| 제시합니다.</p> |
| |
| <p><strong>1. 내 기기가 업데이트되어 이 문제가 해결되었는지 어떻게 알 수 있나요?</strong></p> |
| |
| <p>빌드 LMY48Z 이상 및 2015년 12월 1일 이후의 보안 패치 수준이 |
| 포함된 Android 6.0에서 해결됩니다. 보안 패치 수준을 확인하는 방법에 관한 안내는 <a href="https://support.google.com/nexus/answer/4457705">Nexus 도움말</a>을 참조하세요. 이 업데이트를 |
| 포함하는 기기 제조업체는 패치 문자열 수준을 다음과 같이 설정해야 합니다. |
| [ro.build.version.security_patch]:[2015-12-01]</p> |
| |
| <h2 id="revisions">버전</h2> |
| <ul> |
| <li> 2015년 12월 7일: 최초 게시됨 |
| </li><li> 2015년 12월 9일: 게시판이 수정되어 AOSP 링크 포함됨 |
| </li><li> 2015년 12월 22일: 감사의 말씀 섹션에 누락된 크레딧 추가됨 |
| </li><li> 2016년 3월 7일: 감사의 말씀 섹션에 누락된 크레딧 추가됨 |
| </li></ul> |
| |
| </body></html> |
