구글 크롬, 실제 공격에 악용 중인 제로데이 익스플로잇 2개 패치해

 

 

Update Your Chrome Browser to Patch 2 New In-the-Wild 0-Day Exploits

 

지난 화요일 구글이 새로운 윈도우, 맥, 리눅스용 크롬 웹브라우저 버전을 공개했습니다. 해당 버전에서는 실제 공격에서 악용이 가능한 취약점 2개를 패치했습니다.

 

두 가지 취약점 중 하나는 지난주 이루어진 해킹 콘테스트인 Pwn2Own 2021에서 Dataflow의 Bruno Keith와 Niklas Baumstark가 시연한 V8 JavaScript 렌더링 엔진 내 신뢰할 수 없는 입력에 대한 검증 불충분 취약점 (CVE-2021-21220)입니다.

 

구글은 이 두 취약점을 신속하게 패치했으며, 보안 연구원인 Rajvardhan Agarwal는 지난 주말 크로미움 팀이 오픈소스 컴포넌트에 푸시한 패치를 리버스 엔지니어링하여 작동이 가능한 익스플로잇을 만들어 공개했습니다.

 

Agarwal은 이후 The Hacker News에 이메일을 보내 크로미움 기반 브라우저에 영향을 미치는 취약점이 하나 더 있다고 밝히며 해당 취약점이 이번 V8 최신 버전에서 패치되지 않았다고 설명했습니다. 따라서 새로운 업데이트를 설치하더라도 공격에 노출될 수 있다고 경고했습니다.

 

“두 취약점은 본질적으로는 차이가 있지만, 렌더러 프로세스에서 RCE 권한을 얻기 위해 악용될 수 있다는 것은 같습니다. 첫 번째 패치는 익스플로잇이 공개되어 크롬 업데이트에 포함되었지만, 두 번째 패치는 아직까지 반영되지 않아 여전히 악용이 가능한 상태입니다.”

 

구글은 Blink 브라우저 엔진 (CVE-2021-21206)에 존재하는 Use-After-Free 취약점 또한 해결했습니다. 이는 익명의 연구원이 지난 4월 7일 제보한 것으로 알려졌습니다.

 

 

<이미지 출처 : https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html>

 

 

크롬 기술 프로그램 관리자인 Prudhvikumar Bommana는 블로그 포스팅을 통해 아래와 같이 밝혔습니다.

 

“구글에서는 CVE-2021-21206, CVE-2021-21220에 대한 익스플로잇이 존재한다는 제보를 받았습니다.”

 

익스플로잇이 존재한다는 것이 꼭 공격자가 이를 적극적으로 악용 중이라는 의미는 아닙니다. 구글은 올해 초부터 CVE-2021-21148, CVE-2021-21166, CVE-2021-21193을 포함하여 실제 공격에 악용된 취약점을 수정했습니다.

 

크롬 89.0.4389.128 버전은 수일 내 출시될 예정입니다. 설정 > 도움말 > Chrome 정보로 이동해 최신 버전으로 업데이트하여 취약점과 관련된 위험을 완화할 수 있습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html

https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html