Home > 전체기사
구글, 크롬 79 발표하며 총 51개 취약점 패치해
  |  입력 : 2019-12-12 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
51개 픽스 발표...치명적 위험도 취약점 2개, 고위험군은 8개
비밀번호 없애려는 구글, 이번 크롬부터 재활용되는 비밀번호에 경고


[보안뉴스 문가용 기자] 구글이 이번 주 크롬 79를 발표하면서 총 51개의 보안 픽스들을 공개했다. 이 중 37개는 외부 전문가들이 찾아 구글에 알린 것이며, 2개는 치명적인 위험도를 가진 것으로 나타났다. 또한 8개는 ‘고위험군’에 속하고 18개는 ‘중간류 급’, 9개는 ‘저위험군’으로 분류됐다.

[이미지 = iclickart]


치명적인 위험도를 가진 취약점들 중 하나는 CVE-2019-13725다. 블루투스 요소에서 발견된 Use-after-Free 취약점의 일종으로, 텐센트 킨 시큐리티 랩(Tencent Keen Security Lab)에 소속되 보안 전문가 겡밍 리우(Gengming Liu)와 지아뉴 첸(Jianyu Chen)이 찾아냈다. 다른 하나는 CVE-2019-13726이며 비밀번호 관리자에서 발견된 힙 버퍼 오버플로우 취약점이다. 구글 프로젝트 제로 팀의 세르게이 글라주노프(Sergei Glazunov)가 보고한 것이다.

구글은 CVE-2019-13725 취약점을 발견한 연구원들에 2만 달러의 상금을 지불했다고 발표했다. 나머지 치명적 위험도 등급의 취약점인 CVE-2019-13726의 경우는 상금 규모를 확정 짓지 못하고 있는 상태라고 한다.

고위험군 취약점은 다음과 같다.
1) CVE-2019-13727 : 웹소켓(WebSockets)에서 발견된 ‘정책 적용 불충분’ 취약점
2) CVE-2019-13728 : V8에서 발견된 아웃 오브 바운즈 취약점
3) CVE-2019-13735 : V8에서 발견된 아웃 오브 바운즈 취약점
4) CVE-2019-13729 : 웹소켓에서 발견된 Use-after-Free 취약점
5) CVE-2019-13730 : V8에서 발견된 타입 혼동 취약점
6) CVE-2019-13764 : V8에서 발견된 타입 혼동 취약점
7) CVE-2019-13732 : 웹오디오(WebAudio)에서 발견된 Use-after-Free 취약점
8) CVE-2019-13734 : SQ라이트(SQLite)에서 발견된 아웃 오브 바운즈 취약점

중간급 위험도를 가진 취약점은 다음과 같다.
1) PDFium에서 발견된 정수 오버플로우 취약점
2) 오토컴플릿(autocomplete), 내비게이션(navigation), 옴니박스(Omnibox), 쿠키즈(cookies), 오디오(audio), 개발자 도구(developer tools)에서 발견된 ‘정책 적용 불충분’ 취약점
3) 옴니박스, 공유 프로토콜 처리, 외부 프로토콜 처리 요소에서 발견된 ‘부정확한 보안 UI’ 취약점
4) 블링크(Blink)에서 발견된 ‘입력값 확인 불충분’ 취약점
5) SQ라이트와 렌더링(rendering)에서 발견된 uninitialized use 취약점
6) SQ라이트에서 발견된 아웃 오브 바운즈 리드(out of bounds read) 및 ‘데이터 확인 불충분’ 취약점

저위험군에 속한 취약점은 다음과 같다.
1) 익스텐션(extensions), 내비게이션, 다운로드(downloads), 지불(payments)에서 발견된 ‘정책 적용 불충분’ 취약점
2) 인쇄, 인터스티셜(interstitials), 옴니박스에서 발견된 ‘부정확한 보안 UI’ 취약점

그 외에도 구글은 똑같은 비밀번호가 재사용 되는 상황에서 크롬이 자체 경고를 사용자에게 내보내는 기능도 추가했다. 이제 A라는 웹사이트에서 사용했던 비밀번호를, B라는 사이트에서 똑같이 사용해 로그인 할 때 크롬의 경고창이 뜨는 걸 볼 수 있을 것이다. 플러그인을 통해 제공되던 기능이지만, 이번 버전부터 자체 장착되기 시작했다.

새로운 구글 크롬은 윈도우, 맥, 리눅스용으로 발표됐으며, 정확한 최신 버전 번호는 79.0.3945.79이다.

2줄 요약
1. 구글, 크롬 새 버전 발표하면서 취약점 51개 수정.
2. 이번 버전부터 구글은 비밀번호 재활용할 경우 경고 내보냄.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)