상세 컨텐츠

본문 제목

구글 크롬, 85 버전에서 WebGL 코드 실행 취약점 수정

국내외 보안동향

by 알약4 2020. 8. 25. 14:00

본문

Google Chrome 85 fixes WebGL code execution vulnerability

 

구글이 크롬 웹 브라우저에 존재하는 WebGL(Web Graphics Library)use-after-free 취약점을 수정했습니다. 이 코드를 성공적으로 악용할 경우 브라우저의 컨텍스트에서 임의 코드를 실행할 수 있었습니다.

 

WebGL은 호환되는 브라우저가 플러그인을 사용하지 않고도 대화형 2D, 3D 그래픽을 렌더링하도록 하는 JavaScript API입니다.

 

이 코드 실행 취약점에 대한 수정 사항은 구글 크롬의 베타 릴리즈 채널에 이미 포함되어 있으며, 현지 시간으로 825일 크롬 85.0.4149.0 버전과 함께 공개될 것입니다.

 

심각도 높은 코드 실행 취약점

 

Cisco Talos의 선임 연구원인 Marcin Towalski가 발견한 이 코드 실행 보안 취약점은 CVE-2020-6492로 등록되었으며 심각도 높음’, CVSSv3 점수 8.3을 기록했습니다.

 

이 취약점은 WebGL 컴포넌트가 메모리 내 오브젝트를 올바르게 처리하지 못할 경우 충돌을 발생시킵니다.

 

이 취약점은 크롬 브라우저와 기타 프로젝트에서 사용하는 윈도우의 OpenGLDirect3D 사이의 호환성 계층인 ANGLE에 존재합니다.”

 

공격자는 적절한 메모리 레이아웃 조작을 통해 use-after-free 취약점을 완전히 제어할 수 있게 됩니다. 이를 통해 브라우저의 컨텍스트에서 임의 코드 실행으로 이어질 수 있습니다.”

 

CVE-2020-6492는 구글 크롬 81.0.4044.138 (Stable), 84.0.4136.5 (Dev), 84.0.4143.7 (Canary) 버전에 영향을 미치며 구글에 519일 제보되었습니다.

 

구글 크롬 보안 업데이트

 

구글 크롬의 안정화된 이전 버전 (8483)은 각각 심각도 치명적, 높음으로 분류된 보안 문제를 포함하여 취약점 38개씩을 패치했습니다.

 

크롬 84는 또한 혼합 콘텐츠 다운로드, 브라우저 알림 사기에 대한 보호를 강화하고 안전하지 않은 TLS 프로토콜 제거(TLS 1.0, 1.1 )했습니다.

 

이전 버전인 크롬 83에서는 재설계된 개인정보 보호 및 보안설정 부분, 새로운 Safety Check 기능, 강화된 안전 브라우징 기능, 쿠키 제어 기능 강화, 개선된 DoH 설정 등이 포함된 대규모 보안 및 프라이버시 개선이 진행되었습니다.

     

구글은 현재 팬데믹 상황을 고려하여 크롬 버전 82의 수정 사항을 모두 다음 버전에 포함시킨 후 이를 출시하지 않기로 결정했습니다.

 

 


  

출처:

https://www.bleepingcomputer.com/news/security/google-chrome-85-fixes-webgl-code-execution-vulnerability/


관련글 더보기

댓글 영역