구글, 실제 공격에 악용되는 크롬 제로데이 취약점 수정

 

 

Google fixes second actively exploited Chrome zero-day bug this year

 

구글이 3월 2일 공개된 크롬 89.0.4389.72 버전에서 실제 공격에 적극적으로 악용되는 제로데이 취약점을 수정했습니다. 새로운 버전은 윈도우, 맥, 리눅스 사용자용 Stable 데스크톱 채널에 공개되었습니다.

 

구글은 크롬 89.0.4389.72 관련 공지에서 아래와 같이 밝혔습니다.

 

“구글은 실제 공격에 CVE-2021-21166에 대한 익스플로잇이 존재한다는 제보를 받았습니다.”

 

사용자는 설정 > 도움말 > Chrome 정보에서 크롬 89 버전으로 업데이트 할 수 있습니다. 또한 구글 크롬 웹 브라우저는 자동으로 새 업데이트가 있는지 확인 후, 있을 경우 이를 설치할 것입니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-bug-this-year/>

 

 

실제 진행 중인 공격에 대한 정보는 밝혀지지 않아

 

구글은 이 제로데이 취약점의 심각도를 ‘높음’으로 분류했으며 “오디오 내 객체의 수명 주기 문제”라 설명했습니다. 이 보안 취약점은 지난 달인 2021년 2월 11일 Alison Huffman ‘마이크로소프트의 브라우저 취약점 연구’를 통해 제보되었습니다.

 

구글은 CVE-2021-21166 취약점에 대한 익스플로잇이 실제 공격에 사용된다는 제보를 받았다고 밝혔지만, 이 공격의 배후에 있는 공격자에 대한 정보를 공개하지는 않았습니다.

 

구글은 이에 대해 아래와 같이 밝혔습니다.

 

“대부분의 사용자가 업데이트를 진행하기 전까지 취약점 정보와 링크는 공개하지 않을 것입니다. 또한 다른 프로젝트가 사용하는 타사 라이브러리에 해당 취약점이 존재하는 경우에도 공개 제한을 유지할 예정입니다.”

 

제로데이 취약점에 대한 자세한 정보가 공개되기 전까지 사용자는 현재 진행 중인 공격을 예방하기 위해 금일 공개된 보안 업데이트를 설치하는 것이 좋습니다.

 

추가 정보를 공개하지 않을 경우 다른 공격자가 이 제로데이를 노린 익스플로잇을 생성하는 것을 막을 수도 있습니다.

 

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-bug-this-year/

https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html