기술 지원
문서
로그인
문의하기
보안 결함을 해결하기 위해 수많은 패치를 발표하는 Qualcomm, Lenovo
2023년 1월 17일 TuxCare 홍보팀
퀄컴과 레노버는 칩셋의 여러 보안 결함을 해결하기 위한 패치를 발표했으며, 이 중 일부는 데이터 유출 및 메모리 손상을 초래할 수 있습니다.
자동차에서 전력선 통신에 이르는 다양한 제품에 사용되는 퀄컴 스냅드래곤 시리즈 프로세서의 UEFI(통합 확장 펌웨어 인터페이스) 펌웨어 참조 코드에서 보안 결함이 발견되었습니다. 이러한 결함은 ARM 아키텍처에 기반한 장치에 영향을 미칩니다.
퀄컴의 보안 게시판에 따르면, 다양한 칩셋에 영향을 미치는 20가지 취약점이 패치되었습니다. 이러한 칩셋을 사용하는 제품의 범위가 다양하기 때문에 영향을 받는 디바이스는 자동차부터 Android 연결, 무선랜, 전력선 통신, Kernel에 이르기까지 다양한 기술 영역에 걸쳐 있습니다.
이 중 세 가지 패치는 보안 등급이 심각하며, 그 내용은 다음과 같습니다: CVE-2022-33218(CVSS 점수 8.2, 기술: 자동차): 잘못된 입력 유효성 검사로 인한 메모리 손상 취약성 CVE-2022-33219(CVSS 점수 9.3, 기술: 자동차): 공유 버퍼에 새 리스너를 등록하는 동안 정수 오버플로에서 버퍼 오버플로로 인한 메모리 손상. CVE-2022-33265(CVSS 점수: 7.3, 기술: 전력선 통신 펌웨어): 관련 없는 단일 장치에서 여러 MME를 전송하는 동안 정보 노출로 인한 메모리 손상.
또한 이 업데이트는 보안 등급이 높은 17개의 다른 취약점도 해결하며, Qualcomm이 이를 확인하고 해당 공급업체에 알렸습니다. 이 중 5가지 취약점은 Lenovo ThinkPad X13 노트북에도 적용됩니다. CVE-2022-40516 및 CVE-2022-40517(CVSS 등급: 높음, CVSS 점수 8.4, 기술: 부팅): 스택 기반 버퍼 오버플로로 인한 코어의 메모리 손상 CVE-2022-40520(CVSS 점수 8.4, 기술: 연결성): 코어에서 스택 기반 버퍼 오버플로로 인한 메모리 손상 CVE-2022-40518, CVE-2022-40519(CVSS 등급: 중간, CVSS 점수: 6.8, 기술: 부팅): Core에서 버퍼 오버로드로 인한 정보 노출.
레노버는 이 패치 외에도 씽크패드 X13의 BIOS에서 몇 가지 다른 취약점도 해결했습니다. Lenovo는 사용자에게 BIOS를 버전 1.47(N3HET75W) 이상으로 업데이트할 것을 권장합니다.
이 취약점은 노크 온 효과도 있습니다. 레노버는 퀄컴의 칩을 채택하고 있으며, 바이널리가 퀄컴에 보고한 5가지 버그는 레노버 씽크패드 X13에도 영향을 미쳐 보안 격차를 좁히기 위해 BIOS 업데이트를 출시했습니다.
이 글의 출처는 SCMagazine의 기사입니다.
