Google, 패치를 위해 긴급 크롬 업데이트 발생 제로 데이 취약성 공격

 구글은 금요일 야생에서 활발하게 이용되고 있다고 밝힌 크롬 브라우저의 높은 심각도 취약성을 해결하기 위해 대역 외 보안 업데이트를 발송했다.

CVE-2022-1096으로 추적된 제로 데이 결함은 V8 JavaScript 엔진의 유형 혼동 취약성과 관련이 있다.한 익명의 연구원이 2022년 3월 23일 이 버그를 보고한 공로를 인정받았다.

유형 혼동 오류(예: 변수 또는 개체)는 원래 초기화된 것과 호환되지 않는 유형을 사용하여 리소스(예: 변수 또는 개체)에 액세스할 때 발생하며, C, C++와 같이 메모리 안전하지 않은 언어에서 심각한 결과를 초래할 수 있으므로 악의적인 행위자가 Out of Bounds 메모리 액세스를 수행할 수 있다.

MITRE의 CWE는 "메모리 버퍼에 잘못된 유형을 사용하여 액세스했을 때 할당된 버퍼의 크기가 코드가 액세스하려는 유형보다 작을 경우 메모리를 버퍼의 범위 밖으로 읽거나 쓸 수 있으며 이로 인해 충돌이 발생하고 코드 실행 가능성이 있다"고 설명한다.

이 거대 기술 회사는 "CVE-2022-1096에 대한 공격이 야생에 존재한다는 것을 알고 있다"고 인정했지만, 더 이상의 공격을 막기 위해 그리고 대다수의 사용자가 수정으로 업데이트될 때까지 추가적인 세부 사항을 공유하지 않았다.

CVE-2022-1096은 구글이 크롬에서 연초 이후 두 번째로 해결한 제로데이 취약성으로, 첫 번째는 2022년 2월 14일 패치를 한 애니메이션 컴포넌트의 무사용 취약점인 CVE-2022-0609이다.

구글의 위협분석그룹(TAG)은 이번 주 초 뉴스미디어, IT, 가상화폐, 핀테크 산업에 걸친 미국 기반 조직을 공격하기 위해 결함을 무기로 만든 북한 민족국가단체들이 꾸민 쌍둥이 캠페인의 세부 내용을 공개했다.

Google Chrome 사용자는 Windows, Mac, Linux용 최신 버전 99.0.484.84로 업데이트하여 잠재적인 위협을 완화할 것을 적극 권장한다.마이크로소프트 엣지, 오페라, 비발디 등 크롬 기반 브라우저 사용자도 픽스를 언제, 언제 사용할 수 있게 되는가에 적용하는 것이 좋다.