Google patches one more actively exploited Chrome zero-day 구글이 윈도우, 맥, 리눅스용 크롬 86.0.4240.183을 공개했습니다. 이 버전에서는 실제 공격에 악용되고 있는 제로데이 취약점을 포함한 보안 취약점 10개가 수정되었습니다. 이 제로데이 취약점은 2020년 10월 29일 구글의 위협 분석 그룹의 Clement Lecigne, 구글 프로젝트 제로의 Samuel Groß이 발견해 제보했습니다. 실제 공격에 대한 세부 내용 공개되지 않아 이 취약점은 CVE-2020-16009로 등록되었으며, 구글의 오픈소스 C++ 기반 고성능 웹 어셈블리 및 자바스크립트 엔진인 V8의 부적절한 구현으로 인해 발생합니다. 구글은 “실제 공격에 CVE-2020-1600..

국내외 보안동향 2020. 11. 3. 14:00

New Google Chrome Zero-Day Vulnerability Found Actively Exploited in the Wild 구글 크롬을 최신 버전으로 즉시 업데이트해야 합니다. 구글의 Threat Analysis Group의 보안 연구원인 Clement Lecigne이 지난달 크롬에 존재하는 위험도 높은 취약점을 발견해 제보했습니다. 이 취약점은 원격 공격자가 임의 코드를 실행해 컴퓨터를 완전히 제어할 수 있도록 허용합니다. CVE-2019-5786으로 등록된 이 취약점은 마이크로소프트 윈도우, 애플 맥OS, 리눅스를 포함한 대부분의 주요 OS 용 크롬 소프트웨어에 영향을 끼칩니다. 크롬의 보안 팀은 해당 취약점의 기술적 세부 정보는 공개하지 않았으며, 이 문제가 크롬 브라우저의 File..

국내외 보안동향 2019. 3. 7. 11:52

Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020 구글 크롬, 애플 사파리, 마이크로소프트 엣지, 인터넷 익스플로러, 모질라 파이어폭스를 포함한 모든 메이저 웹 브라우저들이 TLS 1.0 (20년 됨), TLS 1.1 (12년 됨) 통신 암호화 프로토콜에 대한 지원을 곧 종료할 것이라 밝혔습니다. 초기에 SSL(Secure Sockets Layer) 프로토콜로 개발 된 TLS(Transport Layer Security)는 클라이언트와 서버 간의 통신 채널을 보호하고 암호화 하기 위해 사용하는 업데이트 된 암호화 프로토콜입니다. 현재 TLS는 1.0, 1.1, 1.2, 1.3(최신)로 총 4개 버전이 있습니다. 이들 중 구..

국내외 보안동향 2018. 10. 17. 17:40

구글은 윈도우, 맥, 리눅스, 안드로이드용 크롬 64의 업데이트 버전을 출시했습니다. 이번 업데이트 버전에는 브라우저에서 광고를 차단하는 기능이 탑재되었습니다. 언뜻 보기에는 크롬 UI가 이전 버전과 전혀 다르지 않아서 새로운 기능이 많이 추가되지 않은 것 같지만, 대부분의 추가된 기능이 브라우저의 기능을 향상시키는 데 초점을 맞추었습니다. 크롬 64의 업데이트 버전에서는 새로운 브라우저 API, CSS 속성, 자바스크립트 기능을 지원하고, 크롬 V8 자바스크립트 엔진도 일부 변경되었습니다. 대부분의 일반 사용자들은 이 새로운 기능들을 이용할 필요가 없겠지만, 웹 사이트나 애플리케이션 제작자들은 이번 버전이 상당히 많이 업그레이드 된 것을 느끼게 될 것입니다. 자세한 내용은 구글 블로그 포스트를 통해 확..

국내외 보안동향 2018. 1. 26. 09:54

Google Chrome Bans Chinese SSL Certificate Authorities WoSign and StartCom 작년 10월, 구글이 SSL/TLS 인증 기관인 WoSign과 자회사인 StartCom을 크롬 61버전부터 더 이상 신뢰하지 않겠다고 밝힌바 있습니다. (▶ 참고 : 중국 인증 기관, ‘실수로’ GitHub 도메인용 SSL 인증서 배포해 , Mozilla, 더이상 Wosign과 StartCom의 인증서를 신뢰하지 않기로 결정 ) 이는 지난 2016년 8월 17일, Github의 보안 팀이 중국의 인증 기관인 WoSign이 승인 없이 익명의 GitHub 사용자에게 GitHub의 도메인들 중 하나의 base 인증서를 발행해준 것을 구글에 알린 후 시작 되었습니다. 이 제보를 ..

국내외 보안동향 2017. 7. 12. 11:12

크롬을 이용해 원격으로 윈도우 패스워드를 훔칠 수 있는 취약점 발견 돼Beware! Hackers Can Steal Your Windows Password Remotely Using Chrome 한 보안 연구원이 구글의 윈도우 모든 버전용 크롬 최신 버전의 디폴트 구성에서 원격의 해커가 사용자의 로그인 크리덴셜을 훔치는데 사용할 수 있는 심각한 취약점을 발견했습니다. 이번에 발견된 취약점은 사용자들이 악성 SCF 파일을 포함하는 웹사이트를 방문하는 것 만으로도 해커가 크롬 및 SMB 프로토콜을 통해 그들 컴퓨터의 로그인 크리덴셜을 훔치도록 허용합니다. 이 기술은 새로운 것은 아니며, 이란의 핵 프로그램을 파괴시키도록 특별히 제작 된 강력한 멀웨어인 Stuxnet이 악용한 적 있습니다. Stuxnet은 시..

국내외 보안동향 2017. 5. 18. 15:45

Symantec이 30,000개의 EV 인증서를 오발행, 구글 크롬이 더 이상 시만텍 SSL을 신뢰하지 않기로 결정해Google Chrome to Distrust Symantec SSLs for Mis-issuing 30,000 EV Certificates 최근 시만텍에서 지난 몇 년 동안 30,000건의 EV인증서가 부적절하게 발행된 정황이 발견되어, 구글이 점진적으로 시만텍의 SSL 인증서들을 신뢰하지 않을 것이라는 계획을 발표했습니다. 이에 구글 크롬 브라우저에서는 시만텍이 인증서 발행 프로세스를 수정할 때 까지, 최소 1년동안 시만텍이 소유한 인증기관에서 발행 된 모든 인증서의 EV상태를 인정하지 않을 예정입니다. 이는 구글 크롬 팀의 소프트웨어 엔지니어인 Ryan Sleevi가 온라인 포럼에서 ..

국내외 보안동향 2017. 3. 27. 13:15