크롬 브라우저, 공개된 지 일주일 된 익스플로잇 패치해

 

 

Update Your Chrome Browser ASAP to Patch a Week Old Public Exploit

 

지난 화요일 구글이 윈도우, 맥, 리눅스용 크롬 웹 브라우저의 업데이트를 공개해 보안 취약점 총 7개를 패치했습니다. 이 중 한 취약점은 실제 공격에서 사용되는 익스플로잇이 존재했던 것으로 알려졌습니다.

 

CVE-2021-21224로 등록된 이 취약점은 4월 5일 보안 연구원인 Jose Martinez가 제보한 V8 오픈소스 자바 스크립트 엔진 내 유형 혼동 취약점입니다.

 

보안 연구원인 Lei Cao에 따르면, 해당 취약점은 정수 데이터 유형 변환을 수행할 때 유발되며, 임의 메모리 읽기/쓰기 프리미티브를 달성하는데 사용될 수 있는 Out-of-Bound 조건이 발생할 수 있습니다.

 

크롬의 기술 프로그램 관리자인 Srinivas Sista는 블로그에서 아래와 같이 밝혔습니다.

 

“구글은 CVE-2021-21224 취약점이 실제 공격에 악용된다는 제보를 받아 인지하고 있습니다.”

 

 

<이미지 출처 : https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html>

 

 

4월 14일 “frust”라는 연구원이 해당 취약점을 악용하는 PoC 코드를 공개한 이후 V8 소스코드 내에서 이 문제가 해결되어 이 업데이트가 발행되었습니다. 하지만 해당 패치는 크로미움 코드 베이스 및 Chrome, Microsoft Edge, Brave, Vivaldi, Opera 등 해당 코드 베이스를 사용하는 브라우저에 통합되지 않았습니다.

 

브라우저를 패치하는데는 1주일이나 소요되어, 오픈소스 코드 저장소에 게시된 패치가 안정적인 업데이트로 출시되기 전까지는 브라우저가 해당 공격에 취약할 수 있습니다.

 

이에 구글은 2주 마다 심각한 보안 취약점을 수정했습니다.

 

구글은 지난 주 CVE-2021-21206, CVE-2021-21220 두 보안 취약점을 패치했습니다. 이 두 취약점 중 후자는 이달 초 Pwn2Own 2021 해킹 콘테스트에서 시연되었습니다.

 

크롬 버전 90.0.4430.85은 수 일 내 공개될 예정입니다. 설정 > 도움말 > Chrome 정보에서 최신 버전으로 업데이트해 취약점과 관련된 위험을 완화할 수 있습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html

https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html