구글, 크롬 79 발표하며 총 51개 취약점 패치해

입력 : 2019-12-12 11:43

51개 픽스 발표...치명적 위험도 취약점 2개, 고위험군은 8개
비밀번호 없애려는 구글, 이번 크롬부터 재활용되는 비밀번호에 경고

[보안뉴스 문가용 기자] 구글이 이번 주 크롬 79를 발표하면서 총 51개의 보안 픽스들을 공개했다. 이 중 37개는 외부 전문가들이 찾아 구글에 알린 것이며, 2개는 치명적인 위험도를 가진 것으로 나타났다. 또한 8개는 ‘고위험군’에 속하고 18개는 ‘중간류 급’, 9개는 ‘저위험군’으로 분류됐다.


치명적인 위험도를 가진 취약점들 중 하나는 CVE-2019-13725다. 블루투스 요소에서 발견된 Use-after-Free 취약점의 일종으로, 텐센트 킨 시큐리티 랩(Tencent Keen Security Lab)에 소속되 보안 전문가 겡밍 리우(Gengming Liu)와 지아뉴 첸(Jianyu Chen)이 찾아냈다. 다른 하나는 CVE-2019-13726이며 비밀번호 관리자에서 발견된 힙 버퍼 오버플로우 취약점이다. 구글 프로젝트 제로 팀의 세르게이 글라주노프(Sergei Glazunov)가 보고한 것이다.

구글은 CVE-2019-13725 취약점을 발견한 연구원들에 2만 달러의 상금을 지불했다고 발표했다. 나머지 치명적 위험도 등급의 취약점인 CVE-2019-13726의 경우는 상금 규모를 확정 짓지 못하고 있는 상태라고 한다.

고위험군 취약점은 다음과 같다.
1) CVE-2019-13727 : 웹소켓(WebSockets)에서 발견된 ‘정책 적용 불충분’ 취약점
2) CVE-2019-13728 : V8에서 발견된 아웃 오브 바운즈 취약점
3) CVE-2019-13735 : V8에서 발견된 아웃 오브 바운즈 취약점
4) CVE-2019-13729 : 웹소켓에서 발견된 Use-after-Free 취약점
5) CVE-2019-13730 : V8에서 발견된 타입 혼동 취약점
6) CVE-2019-13764 : V8에서 발견된 타입 혼동 취약점
7) CVE-2019-13732 : 웹오디오(WebAudio)에서 발견된 Use-after-Free 취약점
8) CVE-2019-13734 : SQ라이트(SQLite)에서 발견된 아웃 오브 바운즈 취약점

중간급 위험도를 가진 취약점은 다음과 같다.
1) PDFium에서 발견된 정수 오버플로우 취약점
2) 오토컴플릿(autocomplete), 내비게이션(navigation), 옴니박스(Omnibox), 쿠키즈(cookies), 오디오(audio), 개발자 도구(developer tools)에서 발견된 ‘정책 적용 불충분’ 취약점
3) 옴니박스, 공유 프로토콜 처리, 외부 프로토콜 처리 요소에서 발견된 ‘부정확한 보안 UI’ 취약점
4) 블링크(Blink)에서 발견된 ‘입력값 확인 불충분’ 취약점
5) SQ라이트와 렌더링(rendering)에서 발견된 uninitialized use 취약점
6) SQ라이트에서 발견된 아웃 오브 바운즈 리드(out of bounds read) 및 ‘데이터 확인 불충분’ 취약점

저위험군에 속한 취약점은 다음과 같다.
1) 익스텐션(extensions), 내비게이션, 다운로드(downloads), 지불(payments)에서 발견된 ‘정책 적용 불충분’ 취약점
2) 인쇄, 인터스티셜(interstitials), 옴니박스에서 발견된 ‘부정확한 보안 UI’ 취약점

그 외에도 구글은 똑같은 비밀번호가 재사용 되는 상황에서 크롬이 자체 경고를 사용자에게 내보내는 기능도 추가했다. 이제 A라는 웹사이트에서 사용했던 비밀번호를, B라는 사이트에서 똑같이 사용해 로그인 할 때 크롬의 경고창이 뜨는 걸 볼 수 있을 것이다. 플러그인을 통해 제공되던 기능이지만, 이번 버전부터 자체 장착되기 시작했다.

새로운 구글 크롬은 윈도우, 맥, 리눅스용으로 발표됐으며, 정확한 최신 버전 번호는 79.0.3945.79이다.

2줄 요약
1. 구글, 크롬 새 버전 발표하면서 취약점 51개 수정.
2. 이번 버전부터 구글은 비밀번호 재활용할 경우 경고 내보냄.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  근로복지공단 고양지사 퇴사 직원, 내부 일탈...

• 2

  KB증권, 당사 사칭 카카오톡 공모주 청약 ...

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  GPT4, 보안 권고문을 읽는 것 만으로도 ...

• 5

  SW 공급망 보안 가이드라인 1.0 발표.....

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...