크롬, 실제 공격에 악용중인 제로데이 보안취약점 긴급 패치

구글은 지난 금요일 크롬 웹 브라우저에 긴급 보안 패치를 배포해 실제 공격에서 악용되는 것으로 알려진 보안 결함을 해결했다.

CVE-2021-37973으로 추적되는 이 취약성은 페이지가 다른 페이지를 inset으로 표시하고 "이전의 inset 페이지가 최상위 문서가 되는 새로운 상태로 원활하게 전환"할 수 있는 웹 페이지 탐색 시스템인 Portals API에서 발생하는 Use-after-Free이다.

더해커뉴스에 따르면, 구글 위협 분석 그룹(TAG)의 클레망 레신이 이 결함을 보고한 것으로 인정되었다고 보도했다.

그는 취약점과 관련된 추가 세부 사항은 적극적인 악용을 막고 대다수 사용자가 패치를 적용할 수 있도록 공개되지 않았지만 구글은 "CVE-2021-37973에 대한 악용이 야생(in-the-wild)에 존재한다는 것을 알고 있다."라고 밝혔다.

이 업데이트는 애플이 TAG가 "웹킷을 대상으로 하는 N-day 원격 코드 실행과 함께 사용된다"고 언급한 iOS와 macOS의 이전 버전에서 적극적으로 악용된 보안 취약점(CVE-2021-30869)을 막기 위한 작업을 한 이후 하루 만에 이루어졌다.

최신 패치로 구글은 2021년 초부터 크롬의 총 12개의 제로데이 결함을 해결했다.

CVE-2021-21148 - V8에서 발생하는 힙 오버플로우

CVE-2021-21166 - audio에서 객체 재사용 이슈

CVE-2021-21193 - Use-after-free

CVE-2021-21206 - Blink에서 발생하는 Use-after-free

CVE-2021-21220 - x86_64용 V8에서 발생하는 신용되지 않은 입력값에 대한 불충분한 검증

CVE-2021-21224 - V8에서 발생하는 Type confusion

CVE-2021-30551 - V8에서 발생하는 Type confusion

CVE-2021-30554 - WebGL에서 발생하는 Use-after-free