구글 크롬, 또 다시 제로데이 취약점 두 개 패치해

해커들이 먼저 발견해 활용하기 시작한 취약점이 3주간 5개
이번에 발견된 두 개는 고위험군…특수 웹 페이지 만들어 공격 가능

[보안뉴스 문가용 기자] 구글이 다시 한 번 크롬 브라우저의 업데이트를 배포했다. 두 개의 제로데이가 추가로 발견되었기 때문이다. 이 두 가지 취약점 모두 인증 단계를 거치지 않은 원격의 공격자들이 익스플로잇 할 수 있으며, 시스템 침해로 이어진다. 또한 현재 실제 공격에 활용되는 중이라고 한다.

[이미지 = utoimage]

이로써 지난 3주 동안 실제 해커들이 공격에 먼저 활용한 제로데이 취약점이 총 5개로 늘어났다. 구글 크롬 팀의 프루드비쿠마 보마나(Prudhvikumar Bommana)는 블로그 포스트를 통해 제로데이에 대해 상세히 기술하며 CVE-2020-16013과 CVE-2020-16017이라는 번호를 붙였다고 공개했다. 두 가지 취약점 전부 10점 만점에 8.4점으로 고위험군으로 분류됐다. 제보자는 익명으로 처리됐다.

먼저 CVE-2020-16017은 일종의 UaF 취약점이라고 하며, 사이트 격리 기능에서 발견되고 있다고 한다. 원격의 공격자는 웹 페이지를 특수하게 하나 제작하고 피해자가 여기에 접속하도록 유도해야 한다. 피해자가 접속하는 순간 취약점이 발동되며 임의의 코드가 실행된다고 한다.

CVE-2020-16013은 표준에 대한 보안 확인 기능이 제대로 구현되지 않아서 발생하는 문제라고 한다. 구글은 자바스크립트와 웹어셈블리를 처리하는 크롬의 오픈소스 요소인 V8이 부적절하게 구현되었다는 설명을 덧붙였다. 원격의 공격자가 특수하게 조작된 웹 페이지를 만들어 피해자를 유도하면 취약점을 침해할 수 있다고 한다.

11월 초 구글은 CVE-2020-16009라는 취약점을 패치하기도 했었다. 이 역시 제로데이였고, V8 구현과 관련된 것이었다. 하지만 아직까지 CVE-2020-16013과의 관련성은 뚜렷하게 드러난 바가 없다.

구글은 10월 19일부터 시작해 크롬에서 연달아 제로데이 취약점 패치를 배포하기 시작했다. 처음 발견된 건 프리타입(FreeType)에서 발견된 힙 버퍼 오버플로우 취약점이었다. 해커들이 먼저 발견해 실제 공격에 악용했었다. 구글은 제보를 받고 이틀 후에 패치를 배포했다.

그리고 바로 지난 주 구글은 두 개의 제로데이 취약점을 또 다시 패치했다. 데스크톱용 크롬과 안드로이드용 크롬에서 발견된 취약점들이었다. 둘 다 실제 공격에 활용되고 있었다.

3줄 요약
1. 구글, 또 다시 크롬에서 제로데이 취약점 패치.
2. 이번에 발견된 건 두 개로, 고위험군이며, 실제 공격에 활용되고 있었음.
3. 이것으로 지난 3주 동안 크롬에서 발견된 제로데이가 5개.
[국제부 문가용 기자(globoan@boannews.com)]

보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
	민간인증서부터 융복합인증까지, 인증의 시대 열린다
	랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
	데이터 프라이버시가 기업들의 목을 죈다
	재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
	영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
	의료·제약 분야, 코로나19 다음은 해커
	스마트공장 구축은 OT/ICS 보안 정립부터
	드론, 융합보안 산업의 핵심 아이템이 되다
	몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
	CCTV 시스템온칩 대란, 중소기업 생존까지 위협