구글, 코로나 때문에 차기 크롬 개발 일시 정지

코로나 때문에 추가 개발은 하지 않아...안정화와 보안에만 신경 쓸 것
이번 업데이트로 해결된 취약점은 총 13개...고위험군에 속하는 것 꽤 많아

[보안뉴스 문가용 기자] 구글이 이번 주 크롬에서 발견된 고위험군 취약점 여러 개에 대한 패치를 발표했다. 그러면서 미래에 계획되어 있었던 크롬 상위 버전들의 발표를 잠시 중단한다고 선언했다. 크롬 업그레이드가 잠시 미뤄진 건 다름 아닌 코로나 바이러스 때문이라고 한다.

[이미지 = iclickart]

구글은 발표문을 통해 “우리의 가장 큰 목적은 크롬이 안정적이면서 안전하게 작동하도록 유지시키는 것”이라며 “크롬 80 자체 출시는 연기하지만, 80에 맞춰서 발표할 예정이었던 보안 관련 업데이트는 계속해서 진행할 것”이라고 밝혔다.

이번 크롬 업데이트를 통해 해결된 취약점은 총 13개로, 9개는 외부 보안 전문가들이 발견해 구글에 알린 것이다. 13개 중 가장 비중 있게 다뤄진 건 WebGL에서 발견된 UaF 취약점이다. CVE-2020-6422며, 데이비드 마누체리(David Manouchehri)라는 전문가가 찾아냈다. 구글은 마누체리에게 8500달러의 상금을 전송했다.

두 개는 구글 프로젝트 제로 소속 세르게이 글라주노프(Sergei Glazunov)가 발견했다. CVE-2020-6424와 CVE-2020-6425로 전자는 미디어 요소에서 발견된 UaF 취약점이고, 후자는 확장 프로그램과 관련된 정책 적용 불충분 취약점이라고 한다. 구글 프로젝트 제로에 소속된 또 다른 보안 전문가 나탈리 실바노비치(Natalie Silvanovich)는 usersctplib의 아웃 오브 바운드 리드 취약점인 CVE-2019-20503를 찾아냈다.

나머지 취약점 중 4개는 세믈 시큐리티(Semmle Security)의 보안 전문가 만 유에 모(Man Yue Mo)가 찾아냈다. 전부 오디오 요소에 있던 UaF 취약점으로, CVE-2020-6427, CVE-2020-6428, CVE-2020-6429, CVE-2020-6449라는 번호가 붙었다.

마지막 취약점은 ‘V8의 부적절한 통합’ 때문에 발생한다고 구글 발표문에 묘사가 되어 있고, CVE-2020-6426이라는 번호가 붙었다. 보안 업체 세라픽알고리즘(SeraphicAlgorithms)의 아비하이 코헨(Avihay Cohen)이라는 전문가가 발견해 구글에 알렸다.

맨 위의 마누체리를 제외하고는 아직 이번 취약점 발견과 패치에 공헌한 보안 전문가들의 보상 금액이 정해지지 않은 상태라고 구글은 덧붙였다.

현재까지 밝혀진 모든 취약점이 고쳐진 크롬은 80.0.3987, 149 버전이며, 윈도우용, 맥용, 리눅스용 모두 동일하다.

3줄 요약
1. 구글, 코로나 때문에 차기 크롬 발표 계획을 전면 중단시킴.
2. 다만 보안과 관련된 업데이트는 꾸준히 진행할 것이라 함.
3. 현재 시점 가장 안전한 크롬 버전은 80.0.3987.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다