728x90
반응형
뉴스 요약
Qualcomm 칩셋에서 여러 취약점이 발견되었으며, 이는 Chrome에서 Adreno GPU 드라이버를 사용하는 그래픽 렌더링 중 메모리 손상을 일으킬 수 있습니다. 주요 취약점으로는 Use-After-Free(CVE-2025-27038)와 부적절한 권한 부지정으로 인한 메모리 손상(CVE-2025-21480, CVE-2025-21479)이 있습니다. 벤더의 지침에 따라 완화 조치를 적용하거나, 클라우드 서비스의 경우 BOD 22-01 지침을 따르고, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단해야 합니다.
핵심 포인트
- Qualcomm 칩셋 다수에서 심각한 취약점 발견
- Chrome 브라우저에서 Adreno GPU 사용 시 메모리 손상 가능성
- Use-After-Free, Incorrect Authorization 취약점 유형 확인
- CVE-2025-27038, CVE-2025-21480, CVE-2025-21479 취약점 번호 확인
- 벤더 지침 또는 BOD 22-01 지침에 따른 완화 조치 필요
- 완화 조치 불가능 시 제품 사용 중단 권고
기술 세부 내용
1️⃣ Use-After-Free Vulnerability (CVE-2025-27038)
- 취약점 설명: 메모리 블록이 해제된 후에도 해당 메모리에 접근하여 사용하는 Use-After-Free 취약점입니다. 이는 공격자가 시스템 충돌이나 임의 코드 실행을 유발할 수 있는 메모리 손상으로 이어질 수 있습니다.
- 영향 범위: Qualcomm의 여러 칩셋에 영향을 미칩니다.
- 발생 조건: Chrome에서 Adreno GPU 드라이버를 사용하여 그래픽을 렌더링할 때 발생합니다.
- 공격 가능성: 공격자는 이 취약점을 악용하여 시스템에 대한 제어권을 얻거나 악성 코드를 실행할 수 있습니다.
2️⃣ Incorrect Authorization Vulnerability (CVE-2025-21480, CVE-2025-21479)
- 취약점 설명: GPU 마이크로노드에서 특정 명령 시퀀스를 실행하는 동안 권한이 없는 명령 실행으로 인해 메모리 손상이 발생하는 취약점입니다. 두 CVE 모두 유사한 취약점으로 설명되어 있습니다.
- 영향 범위: Qualcomm의 여러 칩셋에 영향을 미칩니다.
- 발생 조건: GPU 마이크로노드에서 특정 명령어 순서를 실행할 때 발생합니다. 명령어의 세부 내용은 공개되지 않았습니다.
- 공격 가능성: 부적절한 권한 부지정으로 인해 공격자가 시스템 권한을 획득하고 악성 코드를 실행할 수 있습니다.
3️⃣ 완화 조치
- ️ 벤더 지침 준수: Qualcomm에서 제공하는 패치 또는 업데이트를 적용해야 합니다.
- ☁️ BOD 22-01 지침 준수 (클라우드 서비스): 클라우드 서비스를 사용하는 경우 BOD 22-01 지침에 따라 필요한 조치를 취해야 합니다.
- 제품 사용 중단: 완화 조치를 사용할 수 없는 경우 취약점이 해결될 때까지 해당 제품의 사용을 중단해야 합니다.
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [보안뉴스]개인정보위, 1445개 공공기관 대상 ‘개인정보 보호수준 평가’ 시행 (0) | 2025.06.04 |
|---|---|
| [KRCERT]Google 제품 보안 업데이트 권고 (1) | 2025.06.04 |
| [보안뉴스][이재명 정부에 바란다-②업계] 사이버보안 업계, “보안 투자 확대” 한 목소리 (1) | 2025.06.04 |
| [보안뉴스][6.3 대선] 이재명 정부표 사이버보안 정책은?... 민관협력·개인보안 강화 (0) | 2025.06.03 |
| [KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-06-02) (0) | 2025.06.03 |