구글, 크롬 78 통해 실험적 기능 도입하고 취약점 37개 해결

입력 : 2019-10-24 15:27

DoH라는 DNS 트래픽 보호 기능 실험적으로 도입된 것이 가장 큰 변화
취약점 다수가 외부 전문가들에게 발견돼...버그바운티 상금 각자에게 수여돼

[보안뉴스 문가용 기자] 구글이 이번 주 크롬 78을 공개하며 37개의 취약점을 해결했다. 그러나 이번 버전을 통해 변경된 것 중 가장 중요한 건 DoH라는 기능이 추가된 것이라고 전문가들은 꼽고 있다.


DoH는 DNS-over-HTTPS라는 것으로, DNS와 관련된 트래픽을 암호화하여 처리하는 기능을 말한다. 이번 버전에서는 이 DoH가 실험적으로 적용되었다. DoH와 브라우저의 궁합을 살펴보기 위함이다. 리눅스와 iOS를 제외하고는 모든 플랫폼에 동일하게 실험이 진행될 것이라고 구글은 발표했다.

또한 이번 버전에서부터 사용자의 비밀번호가 데이터 침해 사고의 DB에서 발견될 경우 사용자에게 경고 메시지를 전달할 예정이다. 이 기능과 관련된 옵션은 Check password safety라는 비밀번호 관리 항목에서 조정할 수 있다. 이 기능 역시 실험 단계를 먼저 거칠 예정이다. 활성화 하려면 크롬을 통해 구글 계정에 로그인 한 상태여야 한다.

이번에 해결된 취약점들 중 21개는 외부 전문가들이 구글 측에 보고한 것이라고 한다. 이 중 3개는 고위험군, 12개는 중간급, 6개는 저위험군에 속하는 것으로 분석됐다. 이 중 가장 패치를 서둘러야 하는 건 블링크(Blink)라는 요소 내에서 발견된 UaF 취약점과 버퍼 오버런 취약점이다. 둘 다 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에(Man Yue)가 발견했다.

이 두 개의 취약점은 각각 CVE-2019-13699와 CVE-2019-13700이라는 번호가 붙었다. 전자에 대해서는 2만 달러가, 후자에 대해서는 1만 5천 달러의 상금이 수여됐다. 다음 고위험군 취약점은 CVE-2019-13701로, 데이비드 얼섹(David Erceg)이라는 전문가가 발견한 URL 스푸핑 관련 버그다. 구글은 1천 달러의 상금을 수여했다.

그 외에도 중요한 취약점은 다음과 같다.
1) CVE-2019-13702 : 인스톨러 요소에서 발견된 권한 상승
2) CVE-2019-13703 : URL 바 스푸핑
3) CVE-2019-13704 : CSP 우회
4) CVE-2019-13705 : 확장 프로그램 허용 우회
5) CVE-2019-13706 : PDFium 내에서 발견된 아웃오브바운즈 리드

이번에 패치된 중간급 위험도 취약점은 다음과 같다.
1) CVE-2019-13707 : 파일 스토리지 노출
2) CVE-2019-13708 : HTTP 인증 스푸핑
3) CVE-2019-13709 : 다운로드 보호 우회
4) CVE-2019-13710 : 다운로드 보호 우회
5) CVE-2019-13711 : 교차 컨텍스트 정보 노출
6) CVE-2019-15903 : expat에서의 버퍼 오버플로우
7) CVE-2019-13713 : 교차 출처 데이터 노출

저위험군에 속한 취약점들은 다음과 같다.
1) CVE-2019-13714 : CSS 주입
2) CVE-2019-13715 : 주소바 스푸핑
3) CVE-2019-13716 : 서비스 작업자 상태 오류
4) CVE-2019-13717 : 모호한 통보
5) CVE-2019-13719 : 모호한 통보
6) CVE-2019-13718 : IDN 스푸핑

새로운 크롬의 정확한 버전 숫자는 78.0.3904.70이며 윈도우용, 맥용, 리눅스용이 현재 배포되고 있는 중이다.

3줄 요약
1. 새로 나온 크롬 78. 취약점 37개 해결함.
2. DNS 정보를 암호화하는 DoH 기능 실험 도입.
3. 비밀번호가 유출된 것으로 보이면 사용자에게 경고하는 기능도 실험 도입.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 2

  지정학적 위기가 고조되는 가운데 CISO가 ...

• 3

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 4

  [이슈인터뷰] KAIST 최양규 교수 “세계...

• 5

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 1

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 4

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 5

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...