Home > 전체기사
구글, 크롬 78 통해 실험적 기능 도입하고 취약점 37개 해결
  |  입력 : 2019-10-24 15:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
DoH라는 DNS 트래픽 보호 기능 실험적으로 도입된 것이 가장 큰 변화
취약점 다수가 외부 전문가들에게 발견돼...버그바운티 상금 각자에게 수여돼


[보안뉴스 문가용 기자] 구글이 이번 주 크롬 78을 공개하며 37개의 취약점을 해결했다. 그러나 이번 버전을 통해 변경된 것 중 가장 중요한 건 DoH라는 기능이 추가된 것이라고 전문가들은 꼽고 있다.

[이미지 = iclickart]


DoH는 DNS-over-HTTPS라는 것으로, DNS와 관련된 트래픽을 암호화하여 처리하는 기능을 말한다. 이번 버전에서는 이 DoH가 실험적으로 적용되었다. DoH와 브라우저의 궁합을 살펴보기 위함이다. 리눅스와 iOS를 제외하고는 모든 플랫폼에 동일하게 실험이 진행될 것이라고 구글은 발표했다.

또한 이번 버전에서부터 사용자의 비밀번호가 데이터 침해 사고의 DB에서 발견될 경우 사용자에게 경고 메시지를 전달할 예정이다. 이 기능과 관련된 옵션은 Check password safety라는 비밀번호 관리 항목에서 조정할 수 있다. 이 기능 역시 실험 단계를 먼저 거칠 예정이다. 활성화 하려면 크롬을 통해 구글 계정에 로그인 한 상태여야 한다.

이번에 해결된 취약점들 중 21개는 외부 전문가들이 구글 측에 보고한 것이라고 한다. 이 중 3개는 고위험군, 12개는 중간급, 6개는 저위험군에 속하는 것으로 분석됐다. 이 중 가장 패치를 서둘러야 하는 건 블링크(Blink)라는 요소 내에서 발견된 UaF 취약점과 버퍼 오버런 취약점이다. 둘 다 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에(Man Yue)가 발견했다.

이 두 개의 취약점은 각각 CVE-2019-13699와 CVE-2019-13700이라는 번호가 붙었다. 전자에 대해서는 2만 달러가, 후자에 대해서는 1만 5천 달러의 상금이 수여됐다. 다음 고위험군 취약점은 CVE-2019-13701로, 데이비드 얼섹(David Erceg)이라는 전문가가 발견한 URL 스푸핑 관련 버그다. 구글은 1천 달러의 상금을 수여했다.

그 외에도 중요한 취약점은 다음과 같다.
1) CVE-2019-13702 : 인스톨러 요소에서 발견된 권한 상승
2) CVE-2019-13703 : URL 바 스푸핑
3) CVE-2019-13704 : CSP 우회
4) CVE-2019-13705 : 확장 프로그램 허용 우회
5) CVE-2019-13706 : PDFium 내에서 발견된 아웃오브바운즈 리드

이번에 패치된 중간급 위험도 취약점은 다음과 같다.
1) CVE-2019-13707 : 파일 스토리지 노출
2) CVE-2019-13708 : HTTP 인증 스푸핑
3) CVE-2019-13709 : 다운로드 보호 우회
4) CVE-2019-13710 : 다운로드 보호 우회
5) CVE-2019-13711 : 교차 컨텍스트 정보 노출
6) CVE-2019-15903 : expat에서의 버퍼 오버플로우
7) CVE-2019-13713 : 교차 출처 데이터 노출

저위험군에 속한 취약점들은 다음과 같다.
1) CVE-2019-13714 : CSS 주입
2) CVE-2019-13715 : 주소바 스푸핑
3) CVE-2019-13716 : 서비스 작업자 상태 오류
4) CVE-2019-13717 : 모호한 통보
5) CVE-2019-13719 : 모호한 통보
6) CVE-2019-13718 : IDN 스푸핑

새로운 크롬의 정확한 버전 숫자는 78.0.3904.70이며 윈도우용, 맥용, 리눅스용이 현재 배포되고 있는 중이다.

3줄 요약
1. 새로 나온 크롬 78. 취약점 37개 해결함.
2. DNS 정보를 암호화하는 DoH 기능 실험 도입.
3. 비밀번호가 유출된 것으로 보이면 사용자에게 경고하는 기능도 실험 도입.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)