Chrome 브라우저의 V8 유형 혼동 취약점(CVE-2021-30563) 주의!

지난 7월 19일, Google은 제로데이를 포함하여 다양한 취약점을 수정하는 Chrome 웹 브라우저용 업데이트를 출시했습니다.

그중 크롬 및 기타 크롬 기반 웹 브라우저에서 사용되는 V8 오픈 소스 자바스크립트 엔진의 유형 혼동 오류로 인해 발생하는 CVE-2021-30563 취약점은 시스템을 완전히 손상시킬 수 있어 각별한 주의가 필요합니다.

원격 공격자는 피해자를 속이기 위해 특수 제작된 웹사이트에 방문하도록 하여 혼동 오류를 유발한 후, 영향을 받는 시스템에서 임의의 코드를 실행할 수 있습니다. 

또한 조작된 HTML 페이지를 통해 WebXR에서 힙 손상을 유발하고 CVE-2021-30563 악용에 성공한 원격 공격자는 시스템을 완전히 제어할 수 있습니다.

홍콩 컴퓨터 비상 대응 팀 조정 센터(HKCERT)는 이 취약점을 매우 높은 위험으로 분류했으며 원격 공격자가 이러한 취약점 중 일부를 악용하여 대상 시스템에서 데이터를 조작할 수 있다고 경고했습니다. 

공개된 취약점을 고려하여 관리자와 사용자 모두 가능한 한 빨리 브라우저를 최신 버전(91.0.4472.164)으로 업데이트해야 합니다.

 

 

CVE 번호

 

CVE-2021-30563

 

 

취약한 버전

 

Google Chrome V8 91.0.4472.164 이전 버전

 

 

패치 방법

 

최신 버전의 Chrome 브라우저(91.0.4472.164)로 업데이트

자동 업데이트를 활성화한 경우, 브라우저가 자동으로 사용 가능한 최신 버전으로 업데이트되어야 하며, 그렇지 않은 경우, 메뉴 표시줄의 도움말에서 찾을 수 있는 Chrome 정보 섹션을 방문하여 Chrome 브라우저를 수동으로 업데이트할 수 있습니다. 

 

 

 

 

참고:

https://www.welivesecurity.com/2021/07/16/google-patches-chrome-zero-day-vulnerability-exploited-in-the-wild/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-30563