구글, 실제 공격에 악용되던 제로데이 취약점 수정

 

 

Google fixes Chrome zero-day actively exploited in the wild

 

구글이 활발히 악용되던 크롬 88.0.4324.150 버전의 제로데이 보안 취약점을 수정했습니다.

 

구글은 크롬 88.0.4324.150 공지에서 아래와 같이 밝혔습니다.

 

“구글은 CVE-2021-21148 취약점이 실제 공격에 악용되고 있다는 사실을 알고 있습니다.”

 

이 버전은 다음 며칠/몇 주 안에 전체 사용자에게 배포될 예정입니다. 윈도우, 맥, 리눅스 데스크톱 사용자는 설정 > Chrome 정보에서 크롬 88로 업그레이드 할 수 있습니다. 구글 크롬 웹 브라우저는 자동으로 새 업데이트를 확인하고 가능한 경우 설치할 수 있습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-actively-exploited-in-the-wild/>

 

 

현재 활발히 악용되고 있는 V8 취약점

 

2021년 1월 24일 Mattias Buelens가 제보한 이 취약점은 CVE-2021-21148로 등록되었으며, 구글은 이 취약점의 심각도를 ‘높음’으로 평가했습니다.

 

마이크로소프트는 지난 1월 28일 북한 정부의 지원을 받는 해킹 그룹인 ZINC가 취약점 연구원들을 노린 공격에서 크롬 브라우저 익스플로잇 체인(제로데이 또는 패치 갭 익스플로잇)을 사용한 것으로 ‘추정’한다고 밝혔습니다.

 

이 제로데이는 구글의 오픈 소스 및 C++ 기반 고성능 웹 어셈블리 및 자바스크립트 엔진인 V8의 힙 버퍼 오버플로우로 설명됩니다.

 

일반적으로 버퍼 오버플로우는 충돌로 이어지지만, 공격자는 취약한 소프트웨어를 실행하는 시스템에서 임의 코드를 실행시킬 수 있습니다.

 

제로데이를 악용하는 공격에 대한 정보는 밝혀지지 않아

 

구글은 “CVE-2020-16009 취약점에 대한 익스플로잇이 실제 공격에 악용된다는 사실을 알고 있다”고 밝혔음에도, 이 공격의 배후에 있는 공격자에 대한 정보를 밝히지 않았습니다.

 

“사용자 대부분이 수정된 내용을 업데이트 완료할 때까지, 취약점에 대한 세부정보 및 링크에 대한 접근이 제한될 수 있습니다.”

 

“해당 취약점이 다른 프로젝트의 서드파티 라이브러리에 존재하지만 아직 수정하지 못한 경우에도 제한을 유지하도록 하겠습니다.”

 

이를 통해 Chrome 사용자는 오늘 출시된 보안 업데이트를 설치할 시간을 추가로 벌고, 공격자가 이 제로데이 취약점을 노린 다른 익스플로잇을 생성하는 것을 막을 수 있습니다.

 

구글은 작년 10월 20일과 11월 12일 한 달 사이에 활발히 악용된 크롬 제로데이 5개를 수정했습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-actively-exploited-in-the-wild/

https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html