최근 구글이 크롬 업데이트를 진행해 총 10개의 보안 취약점을 해결했다. 10개의 보안 취약점 중 6개는 '심각도 높음' 수준이었던 것으로 나타났다. 구글은 앞으로 몇 주에 걸쳐 해당 업데이트를 출시할 것이라고 밝혔다.
미국 지디넷은 구글이 10개의 보안 취약점을 고치기 위해 윈도, 맥, 리눅스용 크롬 브라우저를 업데이트했다고 9일(현지시간) 보도했다. 그중 일부는 원격 공격자가 취약한 시스템을 충돌시킬 수 있다.
구글은 구글 크롬 릴리스 업데이트에서 일부 수정 사항에 대해 자세히 설명했다. 하지만 회사는 현재 대부분의 사용자가 업데이트를 적용할 때까지 많은 문제에 대한 전체 세부 정보를 보류하고 있으며, 앞으로 몇 주에 걸쳐 해당 업데이트를 출시할 예정이다.
이번 구글 크롬 업데이트는 별도로 명시되지 않는 한 모바일 장치의 구글 크롬에서도 사용할 수 있다. 업데이트 중 6개는 '심각도 높음'으로 분류됐다. 이는 업데이트가 가능한 한 빨리 적용돼야 한다는 것을 의미한다.
해당 취약점으로 인해 원격 공격자는 조작된 HTML 페이지를 통해 '힙 손상(heap corruption)'을 악용할 수 있다. 이 손상은 프로그램이 가변적인 양의 데이터를 저장하는 데 사용하는 사전 예약된 컴퓨터 메모리 영역인 '힙(heap)'에 영향을 준다.
'힙 손상'은 프로그램이 힙 보기를 손상시킬 때 발생하며, 이로 인해 충돌이 일어날 수 있는 정도의 메모리 오류가 발생할 수 있다.
6가지 '심각도 높은' 취약점은 ▲CVE-2022-3885 ▲CVE-2022-3886 ▲CVE-2022-3887 ▲CVE-2022-3888 ▲CVE-2022-3889 ▲CVE-2022-3890이다.
CVE-2022-3885는 힙 손상을 일으킬 수 있는 구글 크롬과 크로미엄 웹 브라우저를 위해 크로미엄 프로젝트에 의해 개발된 오픈소스 자바스크립트 엔진인 V8의 취약점이다. 구글 크롬의 음성 인식 취약점인 CVE-2022-3886도 동일한 효과를 얻는 데 악용될 수 있다.
CVE-2022-3887은 웹 워커의 취약점으로, 구글 크롬에서 사용자 인터페이스를 방해하지 않고 백그라운드에서 스크립트를 실행하는 데 사용된다. CVE-2022-3888은 미디어 인코더 및 디코더에 대한 낮은 수준의 접근을 제공하는 데 사용되는 크롬의 웹코덱(WebCodecs) 취약점이다.
CVE-2022-3889은 V8의 유형 혼란 취약점으로, 프로그램에 잘못된 코드를 제공한다. 이러한 각 취약점들을 통해 공격자는 힙 손상 취약성을 악용할 수 있다.
CVE-2022-3890은 안드로이드의 구글 크롬의 크래시패드(Crashpad)에 있는 힙 버퍼 오버플로우로, 원격 공격자가 샌드박스 탈출을 수행해 잠재적으로 전체 호스트 환경에서 권한을 상승시킬 수 있다.
관련기사
- 구글이 말하는 IoT 보안 라벨링2022.11.04
- 전 세계 보안 위기, 오픈SSL 치명적 취약점 발견2022.10.31
- 구글 크롬, 내년 초 윈도7 지원 종료2022.10.25
- 구글, 크롬 C++ 메모리 안전성 대폭 개선2022.05.30
구글은 "우리는 보안 버그가 안정적인 채널에 도달하는 것을 막기 위해 개발 주기 동안 우리와 함께 일한 모든 보안 연구원들에게 감사하다"고 말했다. 구글은 버그를 발견한 연구원들에게 7천 달러에서 2만1천 달러의 버그 현상금을 지불했다.
미국 지디넷은 잠재적인 공격으로부터 시스템을 보호하기 위해서 윈도 경우 107.0.5304.106/.107, 맥과 리눅스의 경우 107.0.5304.110에 대한 구글 크롬 보안 패치가 출시되면 이를 적용할 것을 추천했다.
