2021-03-02 05:10 (화)
리눅스 민트 화면 보호기 우회 결함 발견돼
상태바
리눅스 민트 화면 보호기 우회 결함 발견돼
  • hsk 기자
  • 승인 2021.01.19 11:16
이 기사를 공유합니다

리눅스 민트(Linux Mint) 프로젝트 관리자는 공격자가 OS 화면 보호기를 우회할 수 있는 보안 버그를 해결했다. 이 취약점은 아버지의 컴퓨터로 놀던 두 어린이가 발견했다고 시큐리티어페어스가 보도했다.

보도 내용에 따르면, 프로세스는 간단한데, 화면 보호기를 충돌시켜 잠금을 우회하고 가상 키보드를 통해 데스크톱을 잠금 해제할 수 있다. 가상 키보드를 클릭한 다음 입력하는 동안 실제 키보드에서 가능한 한 많은 키를 입력해 우회가 가능하다.

깃헙 보고서는 “독특한 케이스이긴 하지만 화면 잠금 크래시를 두번 목격했으므로 꽤 현실적이라고 생각했다. 데스크탑 잠금이 해제된 후에는 다시 잠글 수 없으며, 화면 보호기 프로세스가 죽어서 다시 작동시키기 위해서는 쉘을 열고 수동으로 실행시켜야 한다.”고 설명한다.

리눅스 민트 수석 개발자는 이 결함이 리눅스 민트에서 사용하는 Cinnamon 데스크톱 환경의 일부인 온 스크린 키보드(OSK, on screen keyboard) 구성 요소인 libcaribou에 존재함을 확인했다.

클레멘트는 두 개 다른 이슈에 대해 설명했다.

- 모든 버전의 Cinnamon에서 화면 키보드는 Cinnamon 프로세스 내에서 실행되고, libcaribou를 사용한다. ‘ē’ 의 입력은 크래시를 유발

- 4.2 이상 버전의 Cinnamon은 화면 보호기에 libcaribou OSK가 있으며, ē’ 의 입력이 크래시를 유발

즉, 해당 취약점은 사용자가 화면 키보드에서 ē를 누를 때 발생하고, 이로 인해 Cinnamon 데스크탑 프로세스가 중단된다. 화면 보호기에서 화면 키보드를 열면 버그로 인해 보호기가 충돌하여 사용자가 데스크톱에 액세스 할 수 있게 된다.

결함은 10월 CVE-2020-25712 힙 버퍼 오버플로우를 수정하기 위한 Xorg 업데이트 이후 리눅스 민트 OS에서 발견되었다. Cinnamon 4.2 이상 버전을 실행하는 모든 배포 및 libcaribou를 사용하는 모든 소프트웨어에 영향을 미치며, Mint 19.x, Mint 20.x 및 LMDE 4에 대한 패치를 통해 해결되었다.

★정보보안 대표 미디어 데일리시큐!★