구글, 활발히 악용되고 있는 크롬 제로데이 취약점 수정

Google patches one more actively exploited Chrome zero-day

 

구글이 윈도우, 맥, 리눅스용 크롬 86.0.4240.183을 공개했습니다. 이 버전에서는 실제 공격에 악용되고 있는 제로데이 취약점을 포함한 보안 취약점 10개가 수정되었습니다.

 

이 제로데이 취약점은 2020년 10월 29일 구글의 위협 분석 그룹의 Clement Lecigne, 구글 프로젝트 제로의 Samuel Groß이 발견해 제보했습니다.

 

실제 공격에 대한 세부 내용 공개되지 않아

 

이 취약점은 CVE-2020-16009로 등록되었으며, 구글의 오픈소스 C++ 기반 고성능 웹 어셈블리 및 자바스크립트 엔진인 V8의 부적절한 구현으로 인해 발생합니다.

 

구글은 “실제 공격에 CVE-2020-16009 취약점이 악용되고 있다는 제보를 받았다”고 밝혔지만, 이 공격에 대한 자세한 정보는 밝히지 않았습니다.

 

“사용자 대부분이 패치를 업데이트할 때까지 취약점에 대한 세부정보와 링크는 제한될 수 있습니다.”

 

“취약점이 다른 프로젝트의 타사 라이브러리에 존재할 경우에도 제한을 유지할 계획입니다.”

 

CVE-2020-16009 취약점은 구글이 2주만에 또 다시 발견하여 패치한 활발히 악용된 구글 크롬의 2번째 제로데이 취약점입니다. 첫 번째 취약점은 FreeType 엑스트 렌더링 라이브러리에서 발견된 힙 버퍼 오버플로우 제로데이 취약점입니다.

 

지난 주, 구글의 프로젝트 제로 팀은 실제 공격에 활발히 악용되고 있는 윈도우 커널 권한 상승 제로데이 취약점(CVE-2020-17087)을 공개했습니다. 이는 윈도우 7~10의 모든 버전에 영향을 미칩니다.

 

▶ 윈도우 커널 제로데이 취약점, 타깃 공격에 악용돼

 

수정된 다른 보안 취약점 6가지

 

구글은 해당 버전에서 심각도 높은 다른 보안 취약점 6건을 추가로 수정했습니다.

 

- CVE-2020-16004: 유저 인터페이스의 Use-after-free 취약점

- CVE-2020-16005: ANGLE의 불충분한 정책 수행 취약점

- CVE-2020-16006: V8의 부적절한 구현

- CVE-2020-16007: 인스톨러의 불충분한 데이터 검증 취약점

- CVE-2020-16008: WebRTC의 스택 오버플로우 취약점

- CVE-2020-16011: 윈도우 UI의 힙 버퍼 오버플로우 취약점

 

크롬 버전 86.0.4240.183은 며칠 이내로 사용자들에게 배포될 것입니다. 데스크톱 버전 사용자는 ‘설정 > 도움말 > Chrome 정보’로 이동해 업그레이드 할 수 있습니다. 웹 브라우저가 자동으로 새 업데이트가 있는지 확인하고 있는 경우 설치할 것입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/google-patches-one-more-actively-exploited-chrome-zero-day/