이원영 기자
지난 4월말 발견되어 빠르게 수정된 크롬OS 취약점인 CVE-2022-2587는 공격자가 오디오 서버 취약성을 악용해 원격으로 코드를 실행할 위험성이 있다는 것이었다. 이 취약점이 얼마나 위험했는지에 대해 마이크로소프트 측이 설명해 눈길을 끈다.
이 취약점은 기기에 오디오 통신을 할당하는 디버스(D-Bus) 중 하나(org.chromium.cras( ChromiumOS Audio Server)에 존재한다. 조사에 따라 이 서비스에는 특정 함수(SetPlayerIdentity)가 있어 캐릭터 라인 인수(identity)를 입력으로 받지만 이 함수 내에선 C언어 함수(strcpy)가 불려 가는 게 판명됐다는 것. 마이크로소프트는 이 함수에 대해 숙련된 보안 엔지니어에게 해당 함수라고 하면 곧바로 핑이 올 것이라고 지적했다. 이 함수는 변수 적합성을 체크하는 경계 체크를 실시하지 않기 때문에 다양한 메모리 파괴 취약성을 일으킬 가능성이 있다고 한다.
이 함수에 의해 메모리 중 프로그램 동작을 위해 확보되고 있는 힙 영역이라고 불리는 영역이 오버플로를 일으켜 메모리가 파괴될 가능성이 있다고 한다. 마이크로소프트에 따르면 커맨드라인에서 200자 문자열을 디버스로 전송하는 것만으로 오버플로를 일으킬 수 있으며 브라우저나 블루투스를 통해 원격으로 버그를 유발할 수 있다고 밝혔다.
보안이 강화된 크롬OS에서 이 문제를 악용하려면 취약점을 연결해야 한다고 말하지만 마이크로소프트 측은 이 문제 위험에 대해 심각성을 10점 만점 중 9.8점으로 매겼다. 해당 취약점은 발견 직후 구글에 보고됐으며 1개월 뒤 수정 패치가 출시됐다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
