2024-03-29 05:55 (금)
마이크로소프트, 구글 크롬 브라우저의 취약점 발견
상태바
마이크로소프트, 구글 크롬 브라우저의 취약점 발견
  • 유성희 기자
  • 승인 2017.10.23 15:10
이 기사를 공유합니다

z.jpg

사진 출처 : 맥스픽셀

윈도우 OS 개발 업체인 마이크로소프트(MS)는 최근 경쟁사인 구글의 크롬 브라우저에 보안 문제가 있다는 사실을 밝혔다. 브라우저의 자바 스크립트 엔진에 버그가 있다는 것이다. MS 보안팀은 크롬의 원격 코드 실행 문제에 대해 자세히 설명하고 구글의 보안 패치에 대한 접근 방식을 공식 블로그 게시물에서 비판했다.

"우리는 지난 9월 14일에 구글의 신뢰할 수 있는 RCE 익스플로잇과 취약점을 공개했다"고 MS 공격 보안 연구팀의 조던 라베트는 말했다. 구글은 이후 일주일 이내에 해당 문제에 대한 패치를 배포했지만 그것은 크롬의 베타 버전에만 적용된 것으로, 안정 버전은 거의 한 달 동안이나 취약한 상태로 발치됐다는 것이 MS의 주장이다.

MS 보안팀은 구글 크롬 브라우저의 강점을 조사하고 단일 RCE 취약성에 어떻게 대처했는지 분석했다. 이들은 CVE-2017-5121 발견을 주요 발견 사항으로 꼽았다. 이것은 현재의 브라우저에 원격으로 악용 가능한 취약성이 존재한다는 뜻이다. 또 MS는 크롬에서 RCE 완화의 부족, RCE가 동일 출처 정책(Same Origin Policy)을 우회하고 공격자가 피해자의 중요한 정보에 접근할 가능성, 크롬 서비스 프로세서의 취약성 등을 밝혔다.

최신 브라우저의 RCE 취약점은 해커가 임의의 웹사이트에 저장된 암호를 훔쳐 임의의 자바스크립트를 임의의 웹페이지에 삽입하고 사용자가 알지 못하는 백그라운드에서 웹사이트를 탐색할 수 있게 한다. MS는 이 사실을 비판하면서도 구글의 버그 수정이 초기 보고서 이후 4일 만에 완료되고 3일 후에는 브라우저의 고정 빌드가 발표됐다는 점을 높이 샀다.


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★