IT & Security/웹브라우저

Chrome & Chromium : 제로데이(0-Day) 취약점과 보안 패치

la Nube 2019. 11. 2. 16:49
반응형


Chrome Zero-Day Bug with Exploit in the Wild Gets A Patch

New Chrome 0-day Bug Under Active Attacks – Update Your Browser Now!



구글이 지난 목요일 밤, 2개의 use-after-free 취약점에 대한 보안 패치를 발표하였습니다.

이 2개의 취약점 중 하나는 이미 악용이 가능하다고 하는 제로데이(0-day) 취약점입니다.

위와 같은 제로데이(0-day) 취약점을 해결하기 위한 긴급 보안 패치에 해당됩니다.



카스퍼스키 랩의 악성코드 연구팀이 지난 10월 29일 수요일에 해당 취약점을

써먹을 수 있는 익스플로잇이 이미 존재한다는 것을 구글에 신고하였으며,

구글에서는 10월 30일 목요일 밤, 한국시간으로 11월 1일에 보안 패치를 내놓게 되었습니다.


* High CVE-2019-13720: Use-after-free in audio.

  Reported by Anton Ivanov and Alexey Kulaev at Kaspersky Labs on 2019-10-29


* High CVE-2019-13721: Use-after-free in PDFium.

  Reported by banananapenguin on 2019-10-12



이 취약점으로 인해 발생할 수 있는 가장 직접적인 효과는 웹 브라우저의 충돌 문제이나,

임의의 코드를 실행할 수 있게 되기도 합니다. (임의의 코드를 악의적으로 쓰면 → 악성코드)


이 취약점을 당장 써먹기는 쉽지 않은 일이지만, 익스플로잇이 이미 존재하는 만큼,

연구(?)를 통해 언제라도 써먹을 수 있게 된다는 점은 상당히 큰 위협으로 다가옵니다.



그러나 다행인 점은 구글에서 보안 패치가 포함된 크롬 78.0.3904.87 버전을 발표하였다는 것입니다.

크롬 78.0.3904.70과 그 이하의 버전에서는 이번 제로데이 취약점에 노출되어 있으므로,

구글 크롬 사용자께서는 크롬 78.0.3904.87 버전 이상으로 업데이트하기 바랍니다.


그 외에 구글이 주도한 Chromium을 기반으로 하여 개발되는 브라우저들,

예를 들어, 네이버 웨일, 새로 만들고 있는 엣지, 오페라, 비발디, 브레이브 등을

사용 중인 경우에는 이번 취약점의 영향, 패치 여부 등을 확인하기 바랍니다.



구글 크롬의 업데이트는 자동으로 이루어집니다.

다만, 수동으로 확인하고 싶다면, 주소표시줄에 chrome://settings/help 를 입력하거나,

메뉴 → 도움말(E) → Chrome 정보(G)를 클릭하기 바랍니다.


이번 버전의 사용자 에이전트는 다음과 같습니다.

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/78.0.3904.87 Safari/537.36


다음 버전인 크롬 79 버전은 미국 시간으로 12월 10일 경에 배포될 예정입니다.



<참고>


반응형