꿈을꾸는 파랑새

구글에서 제공하는 브라우저인 구글 크롬에 대한 긴급 제로데이 취약점을 수정한 보안 업데이트가 진행이 되었습니다. 최근 구글 크롬 브라우저는 94.0.4606.71 버전으로 업데이트가 되었으며 지금 현재 악의적인 목적이 있는 사람들이 악용하는 제로데이 취약점이 작동하지 못하게 만든 업데이트 버전입니다.
업데이트 방법은 기본적으로 chrome://settings/help 으로 열거나 메뉴->도움말->Chrome 정보를 이동해서 업데이트를 진행을 할 수가 있습니다. 해당 취약점은 총 4가지의 취약점을 수정합니다.
High CVE-2021-37974  Use after free in Safe Browsing. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi'anxin Group on 2021-09-01
High CVE-2021-37975 : Use after free in V8. Reported by Anonymous on 2021-09-24
Medium CVE-2021-37976 : Information leak in core. Reported by Clément Lecigne from Google TAG, with technical assistance from Sergei Glazunov and Mark Brand from Google Project Zero on 2021-09-21
Various fixes from internal audits, fuzzing and other initiatives

구글 크롬 94.0.4606.71 긴급 보안 업데이트
구글 크롬 94.0.4606.71 긴급 보안 업데이트

제로데이 공개 내용은 미공개이며 
CVE-2021-37976 는 핵심 정보 누출로 설명되고 있으며 중간 심각도 수준으로 지정 해당 취약점은 2021년 9월 21일 Google TAG의 Clément Lecigne가 Sergei Glazunov와 Google Project Zero의 Mark Brand의 기술 지원을 받아 발견
두 번째 제로데이 CVE-2021-37975 심각도가 높음
Chrome V8 JavaScript 엔진의 버그 해당 연구원은 9월 24일 취약점을 공개했으며 익명을 유지하기를 원했음
보통은 원격 코드 실행을 수행하거나 브라우저의 보안 샌드박스를 탈출하는 데 악용이 되는 데 사용이 됩니다.
현재 해당 제로 데이 취약점이 공격에 어떻게 사용되었는지에 대한 다른 세부 정보는 없지만, Google TAG 또는 Project Zero의 향후 보고서에서 공개될 수 있습니다.
즉 해당 취약점을 악용한 공격이 이루어지고 있는데 해당 공격이 얼마나 많이 악용이 되는지 공개가 되지 않았습니다. 일단 기본적으로 긴급 보안 업데이트를 할 정도면 많이 악용이 되고 있지 않을까? 개인적으로 생각해 봅니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band