구글이 크로미움(Chromium)의 미해결 취약점에 대한 세부 정보를 실수로 유출
해당 취약점 때문에 브라우저가 닫혀 있어도 자바스크립트가 백그라운드에서 계속 실행되어 기기에서 원격 코드 실행이 가능
크로미움 이슈 트래커(Chromium Issue Tracker)의 게시글에 따르면 해당 결함은 보안 연구원 라이라 레베인(Lyra Rebane)이 보고했으며 2022년 12월에 유효한 것으로 인정
공격자는 해당 문제를 악용해 다운로드 작업과 같이 절대 종료되지 않는 서비스 워커(Service Worker)를 포함한 악성 웹페이지를 생성할 수 있습니다.
레바네는 이를 통해 공격자가 방문자의 기기에서 자바스크립트 코드를 실행할 수 있다고 설명
레바네는 원본 버그 보고서를 통해 수만 건의 페이지뷰를 확보해 봇넷을 구축하는 것은 현실적인 시나리오이며, 사용자들은 자신의 기기에서 자바스크립트가 원격에서 실행될 수 있다는 사실을 인지하지 못할 것이라고 말함
잠재적인 악용 시나리오로는 해킹된 브라우저를 이용해 분산 서비스 거부(DDoS) 공격을 수행하거나 악성 트래픽을 프록시하거나 트래픽을 대상 사이트로 마음대로 리디렉션하는 것이 포함
문제는 Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc를 포함한 모든 크로미움 기반 브라우저에 영향을 좀 한국의 네이버 웨일 포함
지속적인 버그
2024년 10월 26일 한 Google 개발자는 이런 문제가 여전히 해결되지 않은 상태임을 발견하고 진전이 있는지 확인하기 위해 상태 업데이트가 필요한 심각한 취약점이라고 설명.
올해 2월 10일 해당 이슈는 해결된 것으로 표시되었으나 몇 가지 우려 사항으로 말미암아 불과 몇 분 후 다시 열렸습니다.
버그의 라벨이 업데이트되어 크롬 취약점 보상 프로그램(VRP) 패널을 거칠 수 있게 되었으며 패치가 배포되지는 않았지만 2월 12일에 이슈는 해결된 것으로 표시
자동 발송된 이메일을 통해 레바네는 1,000달러의 버그 바운티를 받았다는 통보를 받았음
해당 버그가 14주 이상 폐쇄된 상태였고 시스템상 수정됨으로 표시되었기 때문에 5월 20일 크로미움 이슈 트래커의 모든 접근 제한이 해제
같은 날 레바네는 수정 사항을 테스트한 결과 크롬 Dev 150과 엣지 148에서 문제가 여전히 존재함을 확인
해당 연구원은 어제 게시한 글에서 2022년에 자신의 사용자의 어떠한 조작 없이도 크롬 기반 브라우저를 영구적인 JS 봇넷 구성원으로 만들 수 있는 버그를 발견했습니다 라고 밝혔다.
Microsoft Edge의 경우 사용자는 아무런 이상 징후도 감지하지 못하며 브라우저를 닫고 C2 서버와 계속 연결된 상태를 유지
패치 나올떄 까지 조심
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 마이크로소프트 새로운 윈도우 디펜더 제로데이 취약점이 공격에 악용 중 (0) | 2026.05.26 |
|---|---|
| 김수키(Kimsuky)에서 만든 악성코드-2026년 방위산업기술개발사업 최종평가위원회 위원 위촉 안내.pdf.lnk (0) | 2026.05.25 |
| 북한 김수키(Kimsuky) 에서 만든 악성코드-5월 신고 납부기한 통지서.pdf.lnk (0) | 2026.05.22 |
| 부킹닷컴 으로 위장 하고 있는 클릭픽스(ClickFix) 공격 사이트 분석 (0) | 2026.05.21 |
| Kimsuky(김수키)에서 만든 악성코드-하나은행_웨이브릿지 전략적 협업 제안서.lnk (0) | 2026.05.20 |
| 마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단 (0) | 2026.05.19 |
| 경북 청도군 를 노린 김수키(Kimsuky)에서 만든 악성코드-노X정님.jse (0) | 2026.05.18 |
| 윈도우 11,윈도우 10 KB5089549 & KB5087420,KB5087544 보안 업데이트 (0) | 2026.05.16 |
