상세 컨텐츠

본문 제목

Google Chrome 긴급 업데이트, 2개의 제로데이 취약점 패치해

국내외 보안동향

by 알약4 2021. 10. 1. 11:25

본문

 

 

Google Emergency Update Fixes Two Chrome Zero Days

 

구글이 지난 목요일에 Chrome 웹 브라우저용 긴급 업데이트를 통해 2개의 제로데이 취약점을 패치했습니다. 구글은 Windows, Mac, Linux용 버전(Chrome 94.0.4606.71)에 총 4개의 수정 사항이 포함되며, 며칠 내로 모든 사용자에게 적용된다고 밝혔습니다. 또한 업데이트가 완료될 때까지 취약점 세부 정보 및 링크에 대한 접근이 제한될 수 있다고 설명했습니다. 

첫 번째 취약점(CVE-2021-37975)은 V8 JavaScript 엔진에 존재하는 user-after-free 취약점입니다. V8은 Chrome 및 Chromium 기반 브라우저를 위한 Google의 오픈소스 고성능 JavaScript 및 WebAssembly 엔진입니다. 인터프리터를 사용하는 대신 JavaScript 코드를 보다 효율적인 기계어로 번역하여 웹 브라우저의 속도를 높이는 데 사용됩니다. Google Chrome에만 한정되는 게 아니므로, 다른 브라우저에도 영향을 미칠 수 있습니다.

두 번째 취약점(CVE-2021-37976)은 정보 유출 취약점으로, 심각도가 '중간' 수준입니다. Google의 위협 분석 그룹(TAG)에 의해 발견되어 지난주 9월 21일 화요일에 보고되었습니다. 

Google이 목요일에 패치한 두 번째로 심각도가 높은 취약점(CVE-2021-37974)은 또 다른 use-after-free 취약점으로, 구글 세이프 브라우징 서비스에 존재합니다. 지난 13일에 패치된 두 개의 취약점(CVE-2021-30632, CVE-2021-30633)도 각각 V8 JavaScript 엔진의 경계 밖 쓰기 취약점과 IndexedDB API의 user-after-free 취약점입니다. 

user-after-free 취약점은 유효한 데이터 손상, 임의의 코드 실행 등 다양한 유형의 공격을 발생시킬 수 있습니다. Threatpost의 한 전문가는 해당 취약점 유형에 대해 '올해의 가장 위험한 소프트웨어 취약점'으로 소개한 바 있습니다.  

윈도우, macOS, 리눅스용 Chrome 사용자는 설정>도움말>'Google 크롬 정보'로 이동해 최신 버전(94.0.4606.71)으로 업데이트하여 취약점과 관련된 위험을 완화하시기 바랍니다.

 

 

 

출처:

https://threatpost.com/google-emergency-update-chrome-zero-days/175266/

관련글 더보기

댓글 영역