2021-05-10 12:05 (월)
구글, 크롬 V8 엔진에서 심각도 높은 보안취약점 패치
상태바
구글, 크롬 V8 엔진에서 심각도 높은 보안취약점 패치
  • hsk 기자
  • 승인 2021.05.01 13:32
이 기사를 공유합니다

구글이 웹 브라우저에서 사용하는 V8 자바스크립트 엔진에 존재하는 심각도 높은 취약점 CVE-2021-21227을 해결하는 크롬 90 보안 업데이트를 출시했다.

CVE-2021-21227 취약점은 불충분한 데이터 유효성 검사 이슈로, 원격 공격자가 대상의 브라우저 내에서 코드를 실행하기 위해 악용할 수 있다. 중국 보안연구원은 해당 취약점을 발견해 구글에 보고한 후 1만5천달러의 보상을 받았다.

공격자가 이 취약점으로 크롬 샌드박스를 탈출할 수는 없지만, 샌드박스 탈출 익스플로잇과 연결하면 기본 운영체제에서 악성코드를 실행시킬 수 있다. 또한 CVE-2021-21227은 2020년에 구글에서 패치한 CVE-2020-16040, CVE-2020-15965와 연결되어 있다.

구글은 패치를 제공하기 전에 PoC 익스플로잇이 공개된 일부를 포함하여 최근 몇주간 심각한 여러 V8 취약점들을 해결했다. 그리고 이들 중 일부는 in the wild에서 악용되고 있다고 경고했다.

크롬 90 보안 업데이트는 CVE-2021-21227을 포함해 총 9개 취약점을 패치하며, 외부 연구자가 보고한 결함은 다음과 같다.

△[$NA][1175058] High CVE-2021-21232: Dev Tools에 존재하는 Use after free. Abdulrahman Alqabandi(Microsoft Browser Vulnerability Research)가 2021-02-05에 보고.

△[$TBD][1182937] High CVE-2021-21233: ANGLE에 존재하는 Heap buffer overflow. Omair가 2021-02-26에 보고.

△[$5000][1139156] Medium CVE-2021-21228: 확장 기능에서 불충분한 정책 시행. Rob Wu가 2020-10-16에 보고.

△[$TBD][1198165] Medium CVE-2021-21229: 다운로드 시 잘못된 UI 보안. Mohit Raj (shadow2639)가 2021-04-12에 보고.

△[$TBD][1198705] Medium CVE-2021-21230: V8에서 Type Confusion. Manfred Paul이 2021-04-13에 보고.

△[$NA][1198696] Low CVE-2021-21231: V8에서 불충분한 데이터 검증. Sergei Glazunov(Google Project Zero)가 2021-04-13에 보고.

★정보보안 대표 미디어 데일리시큐!★