Google Chrome Bugs Open Browsers to Attack
구글의 윈도우, 맥, 리눅스용 크롬의 새 버전인 85.0.4183.121에서 보안 취약점 10개가 수정되었습니다.
구글이 크롬 브라우저에서 심각한 코드 실행 취약점 다수를 발견했습니다. 공격자가 이 취약점을 악용하기 위해서는 소셜 엔지니어링 미끼나 피싱 등을 통해 타깃이 특수 제작된 웹페이지를 방문하도록 속이기만 하면 됩니다.
구글은 심각한 취약점을 성공적으로 악용할 경우 공격자가 브라우저의 콘텍스트에서 임의 코드를 실행할 수 있다고 밝혔습니다.
구글 크롬 85.0.4183.121의 이전 버전이 모두 이 취약점에 영향을 받습니다.
구글은 화요일 발표한 보안 권고에서 아래와 같이 밝혔습니다.
“애플리케이션에 부여된 권한에 따라 공격자는 데이터를 열람, 변경 또는 삭제할 수 있습니다.”
“이 애플리케이션이 시스템에서 더 적은 사용자 권한을 갖도록 구성되었을 경우에는 시스템 관리자 권한을 가지고 있을 경우보다 취약점이 미치는 영향이 더 적을 것입니다.”
구글은 화요일 권고를 통해 심각도 높은 취약점 5개를 공개했지만 아직까지 자세한 정보는 공개하지 않고 있습니다. 이러한 정보는 일반적으로 사용자 대부분이 패치를 적용한 후에 공개된다고 밝혔습니다.
하지만 “사용자가 특수 제작한 웹 페이지에 방문하거나 이동될 경우 취약점 악용이 가능하다”고는 언급했습니다.
이 심각도 높은 취약점 중에는 구글 크롬의 스토리지 내 out-of-bound 읽기 오류 (CVE-2020-15960) 또한 포함되어 있습니다.
이 힙 버퍼 오버플로우 취약점은 원격 공격자가 특수 제작한 HTML 페이지를 통해 잠재적으로 out-of-bound 메모리 접근을 수행하도록 허용합니다.
불충분한 정책 시행과 관련된 취약점 3개 또한 수정되었습니다. 구글 크롬의 확장 프로그램에 존재하는 취약점 2가지 (CVE-2020-15961, CVE-2020-15963)가 포함됩니다. 공격자는 이 취약점을 악용하여 사용자가 악성 확장 프로그램을 설치하도록 속여 조작된 크롬 확장 프로그램을 통해 샌드박스 탈출을 수행할 수 있습니다.
세 번째 취약점은 불충분한 정책 유효성 검사 (CVE-2020-15962) 문제로 크롬의 시리얼 기능에 존재합니다. 원격 공격자가 조작된 HTML 페이지를 통해 out-of-bound 메모리 접근을 수행하도록 허용할 수 있습니다.
또한 구글은 The Chromium Project에서 개발한 구글 크롬 및 크로미음 웹 브라우저용 오픈 소스 JavaScript 엔진인 V8에 존재하는 out-of-bound 쓰기 취약점(CVE-2020-15965)을 수정했습니다.
이 취약점은 조작된 HTML 페이지를 통해 원격 공격자가 out-of-bound 메모리 접근을 수행하도록 허용할 수 있습니다.
구글은 현재 이러한 취약점이 악용되고 있다는 제보는 아직까지 없었다고 밝혔습니다. 또한 크롬 사용자들에게 취약한 시스템에 채널 업데이트를 즉시 적용할 것을 권장하며 “신뢰할 수 없는 웹사이트를 방문하지 말고 알 수 없거나 신뢰할 수 없는 출처의 링크를 따라가지 말 것”을 당부했습니다.
출처:
https://threatpost.com/google-chrome-attack/159466/
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15960
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15961
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15963
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15965
새로운 랜섬웨어 공격자인 OldGremlin, 커스텀 악성코드로 상위 조직 공격 (0) | 2020.09.24 |
---|---|
공개된 Citrix Workspace 취약점, 새로운 공격 벡터에 노출 (0) | 2020.09.23 |
Activision 해킹 가능성 있어, 50만 콜 오브 듀티 사용자들 영향 받아 (0) | 2020.09.22 |
마이크로소프트 백엔드 서버, Bing 데이터 유출해 (0) | 2020.09.22 |
스패머들, 탐지를 피하기 위해 16진수 IP 주소 사용 (0) | 2020.09.21 |
댓글 영역