구글, 활발히 악용되는 크롬 제로데이 취약점 패치용 긴급 업데이트 발표

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

 

구글이 지난 금요일 실제 공격에서 활발히 악용되고 있는 크롬 브라우저의 심각도 높은 취약점을 패치하는 긴급 보안 업데이트를 공개했습니다.

 

CVE-2022-1096으로 등록된 이 제로데이 취약점은 V8 JavaScript 엔진에 존재하는 유형 혼동 취약점입니다. 이는 2022년 3월 23일에 익명의 연구원이 제보했습니다.

 

처음에 초기화된 것과 호환되지 않는 유형을 사용해 리소스(예: 변수, 개체 등)에 접근할 때 발생하는 유형 혼동 오류는 C 및 C++와 같이 메모리에 안전하지 않은 언어에서 심각한 결과를 초래할 수 있어 공격자가 out-of-bound 메모리 접근을 수행하도록 허용합니다.

 

MITRE의 CWE에서는 아래와 같이 설명했습니다.

 

"잘못된 유형을 통해 메모리 버퍼에 접근할 시 할당된 버퍼가 코드가 접근하려 시도하는 유형보다 작을 경우 버퍼의 범위를 벗어나 메모리를 읽거나 쓸 수 있어 충돌 및 코드 실행이 발생할 수 있습니다."

 

구글은 "CVE-2022-1096에 대한 익스플로잇이 실제로 존재한다는 사실을 인지하고 있다”고 밝혔지만, 추가 악용을 막고 사용자 대다수가 업데이트를 적용해 취약점을 수정하기 전까지 기다리기 위해 추가 세부 정보를 공유하지 않았습니다.

 

CVE-2022-1096은 구글이 올해 들어 크롬에서 수정한 두 번째 제로데이 취약점입니다. 첫 번째는 CVE-2022-0609로 지난 2월 14일 패치된 Animation 컴포넌트의 use-after-free 취약점입니다.

 

이번 주 초 구글의 TAG(Threat Analysis Group)는 북한 정부의 지원을 받는 그룹이 뉴스 미디어, IT, 가상화폐, 핀테크 산업에 걸쳐 미국 기반 조직을 공격하기 위해 해당 취약점을 무기화한 캠페인 2가지에 대한 자세한 정보를 공개했습니다.

 

구글 크롬 사용자는 잠재적 공격을 완화하기 위해 윈도우, 맥, 리눅스용 최신 버전인 99.0.4844.84로 업데이트하는 것이 좋습니다. Microsoft Edge, Opera, Vivaldi와 같은 Chromium 기반 브라우저 사용자도 수정 사항이 제공되는 즉시 적용할 것을 권장합니다.

 

 

 

 

출처:

https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html

https://cwe.mitre.org/data/definitions/843.html

https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html