구글, 크롬 브라우저의 새로운 제로데이 취약점 2개 수정

Google addresses two new Chrome zero-day flaws

 

구글이 크롬 버전 86.0.4240.198에서 실제 공격에 활발히 악용되는 새로운 제로데이 취약점 2개를 수정했습니다.

 

구글은 3주만에 크롬의 제로데이 취약점 총 5개를 수정했습니다.

 

CVE-2020-16013, CVE-2020-16017로 등록된 이 제로데이 취약점은 익명으로 제보된 것으로 나타났습니다.

 

구글은 이 취약점이 실제 공격에서 어떻게 악용되는지는 공개하지 않았습니다.

 

CVE-2020-16013 취약점은 V8 크롬 컴포넌트의 부적절한 구현으로 인해 발생하며 2020년 11월 9일 익명으로 제보되었습니다.

 

CVE-2020-16017 취약점은 Site Isolation에 존재하는 use-after-free 메모리 손상 취약점이며 2020년 11월 7일 익명으로 제보되었습니다.

 

흥미로운 사실은 이 취약점 중 하나가 구글이 크롬 새 버전을 출시한 당일 제보되었다는 것입니다.

 

구글이 지난 주 패치한 또 다른 제로데이 취약점 13개는 아래와 같습니다.

 

CVE-2020-15999 – 표준 크롬 릴리즈에 포함된 FreeType 폰트 렌더링 라이브러리에 존재하는 메모리 충돌 취약점

CVE-2020-16009 – 구글 크롬의 FreeType 내 힙 버퍼 오버플로우

CVE-2020-16010 – 안드로이드용 크롬의 UI에 영향을 미침

 

구글은 “많은 보안 취약점이  AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, , AFL을 통해 발견되었다”고 끝맺었습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/110793/hacking/google-chrome-zero-day-flaws.html

https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html