퀄컴(Qualcomm) 스냅드래곤에서 소프트웨어(SW) 보안 취약점이 발견돼 마이크로소프트, 레노버, 삼성 등 다수 글로벌 기업의 제품이 영향을 받은 것으로 알려졌다.
이번 취약점은 소프트웨어 보호 기업 Binarly의 efiXplorer팀, OPPO Amber Security Lab의 Zinuo Han, IceSword Lab의 Gengjia Chen, 연구원 nicolas STEALIEN의 장선웅, Baidu Security의 Le Wu 등에 의해서 발견됐다.
퀄컴은 최근 보안 공지를 통해 스냅드래곤 제품군의 22개의 SW 취약점을 해결했다고 밝혔다. 다음은 퀄컴 스냅드래곤에서 발견된 보안 취약점의 목록이다.
• CVE-2022-33218: 자동차
• CVE-2022-33219: 자동차
• CVE-2022-33265: 통신 펌웨어
• CVE-2022-25725: 유틸리티
• CVE-2022-33252: WLAN 펌웨어
• CVE-2022-33253: WLAN 펌웨어
• CVE-2022-33266: 중간 오디오
• CVE-2022-33274: 안드로이드 코어
• CVE-2022-33276: WLAN 펌웨어
• CVE-2022-33283: WLAN 펌웨어
• CVE-2022-33284: WLAN 펌웨어
• CVE-2022-33285: WLAN 펌웨어
• CVE-2022-33286: WLAN 펌웨어
• CVE-2022-33290: 자동차 연결성
• CVE-2022-33299: 자동차 연결성
• CVE-2022-33300: 자동차 안드로이드 OS
• CVE-2022-25746
• CVE-2022-40516
• CVE-2022-40517
• CVE-2022-40520
퀄컴은 “공유 버퍼에 새 리스너를 등록하는 동안 버퍼 오버플로에 대한 정수 오버플로로 인해 Automotive에서 메모리 손상이 발생했다"라고 설명했다. 또한 퀄컴은 다음 두 취약점이 가장 심각하다고 말했다.
• CVE-2022-33218: 잘못된 입력 유효성 검사로 인한 Automotive의 메모리 손상
• CVE-2022-33265: 전력선 통신 펌웨어의 정보 유출
한편, 레노버는 '씽크패드(ThinkPad) X13s'에 영향을 미치는 취약성을 해결하기 위해 보안 패치를 발표했다. 씽크패드 X13s는 2022년 레노버가 출시한 노트북으로 씽크패드 브랜드로는 처음으로 스냅드래곤(스냅드래곤 8cx Gen 3)이 탑재됐다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
