구글, 1월부터 활발히 악용되어 온 크롬의 세 번째 제로데이 취약점 수정

 

 

Google fixes the third actively exploited Chrome 0-Day since January

 

구글이 활발히 악용되고 있는 크롬 브라우저 내 새로운 제로데이 취약점을 수정했습니다. 이는 구글이 한 달 내 수정한 2번째 제로데이 취약점입니다. CVE-2021-21193로 등록된 이 취약점은 Blink 렌더링 엔진 내 use-after-free 취약점입니다.

 

구글은 이 문제를 곧 출시될 윈도우, 맥, 리눅스용 크롬 버전 89.0.4389.90에서 수정하였습니다.

 

이 취약점은 지난 3월 9일 익명의 연구원이 구글에 제보했습니다. 당시 구글은 이 취약점이 실제 공격에 악용될 가능성이 있기 때문에 이에 대한 자세한 정보를 공개하지는 않았습니다.

 

구글은 다른 취약점 4개 또한 수정했습니다.

 

-[$500][1167357] (높음) CVE-2021-21191: WebRTC의 use-after-free 취약점
-[$추후 결정][1181387] (높음) CVE-2021-21192: 탭 그룹의 힙 버퍼 오버플로우 취약점
-[$추후 결정][1186287] (높음) CVE-2021-21193: Blink의 use-after-free 취약점

 

또한 CVE-2021-21193 취약점에 대한 익스플로잇이 존재한다는 것을 인지하고 있다고 밝혔습니다.

 

2월 초, 구글은 크롬 88.0.4324.150 버전을 공개하여 활발히 악용되던 제로데이 취약점 중 하나인 CVE-2021-21148을 수정했습니다.

 

이 취약점은 힙 버퍼 오버플로우로 C++로 작성된 오픈소스 고성능 자바스크립트 및 웹 어셈블리 엔진인 V8에 존재했습니다.

 

그리고 이달 초, 구글은 실제 공격에 악용 중이었던 또 다른 제로데이 취약점인 CVE-2021-21166을 수정했습니다.

 

구글은 2020년에만 실제 공격에 악용되던 크롬 제로데이 취약점 5개를 수정했습니다.

 

지난 10월에는 아래 취약점 3가지가 수정되었습니다.

 

- CVE-2020-15999: 이 취약점은 FreeType 폰트 렌더링 라이브러리에 존재하는 메모리 충돌 취약점으로 표준 크롬 릴리즈에 포함되어 있었습니다.
- CVE-2020-16009:  이 취약점은 구글 크롬의 Freetype에 존재하는 힙 오버플로우입니다.
- CVE-2020-16010: 이 취약점은 안드로이드용 크롬의 UI 컴포넌트에 영향을 미칩니다.

 

지난 11월에는 실제 공격에 활발히 악용되고 있었던 또 다른 제로데이 취약점인 CVE-2020-16013과 CVE-2020-16017을 수정했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/115600/security/google-chrome-0-day.html

https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html