Home > 전체기사

구글 크롬, 또 다시 제로데이 취약점 두 개 패치해

  |  입력 : 2020-11-13 13:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해커들이 먼저 발견해 활용하기 시작한 취약점이 3주간 5개
이번에 발견된 두 개는 고위험군…특수 웹 페이지 만들어 공격 가능


[보안뉴스 문가용 기자] 구글이 다시 한 번 크롬 브라우저의 업데이트를 배포했다. 두 개의 제로데이가 추가로 발견되었기 때문이다. 이 두 가지 취약점 모두 인증 단계를 거치지 않은 원격의 공격자들이 익스플로잇 할 수 있으며, 시스템 침해로 이어진다. 또한 현재 실제 공격에 활용되는 중이라고 한다.

[이미지 = utoimage]


이로써 지난 3주 동안 실제 해커들이 공격에 먼저 활용한 제로데이 취약점이 총 5개로 늘어났다. 구글 크롬 팀의 프루드비쿠마 보마나(Prudhvikumar Bommana)는 블로그 포스트를 통해 제로데이에 대해 상세히 기술하며 CVE-2020-16013과 CVE-2020-16017이라는 번호를 붙였다고 공개했다. 두 가지 취약점 전부 10점 만점에 8.4점으로 고위험군으로 분류됐다. 제보자는 익명으로 처리됐다.

먼저 CVE-2020-16017은 일종의 UaF 취약점이라고 하며, 사이트 격리 기능에서 발견되고 있다고 한다. 원격의 공격자는 웹 페이지를 특수하게 하나 제작하고 피해자가 여기에 접속하도록 유도해야 한다. 피해자가 접속하는 순간 취약점이 발동되며 임의의 코드가 실행된다고 한다.

CVE-2020-16013은 표준에 대한 보안 확인 기능이 제대로 구현되지 않아서 발생하는 문제라고 한다. 구글은 자바스크립트와 웹어셈블리를 처리하는 크롬의 오픈소스 요소인 V8이 부적절하게 구현되었다는 설명을 덧붙였다. 원격의 공격자가 특수하게 조작된 웹 페이지를 만들어 피해자를 유도하면 취약점을 침해할 수 있다고 한다.

11월 초 구글은 CVE-2020-16009라는 취약점을 패치하기도 했었다. 이 역시 제로데이였고, V8 구현과 관련된 것이었다. 하지만 아직까지 CVE-2020-16013과의 관련성은 뚜렷하게 드러난 바가 없다.

구글은 10월 19일부터 시작해 크롬에서 연달아 제로데이 취약점 패치를 배포하기 시작했다. 처음 발견된 건 프리타입(FreeType)에서 발견된 힙 버퍼 오버플로우 취약점이었다. 해커들이 먼저 발견해 실제 공격에 악용했었다. 구글은 제보를 받고 이틀 후에 패치를 배포했다.

그리고 바로 지난 주 구글은 두 개의 제로데이 취약점을 또 다시 패치했다. 데스크톱용 크롬과 안드로이드용 크롬에서 발견된 취약점들이었다. 둘 다 실제 공격에 활용되고 있었다.

3줄 요약
1. 구글, 또 다시 크롬에서 제로데이 취약점 패치.
2. 이번에 발견된 건 두 개로, 고위험군이며, 실제 공격에 활용되고 있었음.
3. 이것으로 지난 3주 동안 크롬에서 발견된 제로데이가 5개.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협