2022-08-12 04:55 (금)
구글, 사이버 공격에 악용되는 심각한 제로데이 취약점…긴급 크롬 업데이트 발표
상태바
구글, 사이버 공격에 악용되는 심각한 제로데이 취약점…긴급 크롬 업데이트 발표
  • hsk 기자
  • 승인 2021.12.14 15:19
이 기사를 공유합니다

구글이 현실에서 악용되는 심각도 높은 제로데이 취약점을 해결하기 위해 윈도우, Mac 및 리눅스용 크롬 96.0.4664.110을 출시했다고 브리핑컴퓨터가 보도했다. 

구글은 오늘 보안 권고를 통해 CVE-2021-4102 취약점에 대한 익스플로잇이 존재한다는 사실을 인지하고 있다고 밝혔다.

회사는 해당 업데이트가 모든 사용자에게 도달하는데 시간이 소요될 수 있다고 설명했으나, 이미 Stable Desktop 채널에서 전 세계적으로 크롬 96.0.4664.110 버전이 배포 중이다.

사용자는 크롬 메뉴 > 도움말 > 구글 크롬 정보에서 새 업데이트를 확인해 즉시 사용할 수 있다. 브라우저는 또한 최근 업데이트를 자동으로 확인하고 다음 실행 후 자동으로 업데이트한다.

오늘 수정된 CVE-2021-4102로 추적되는 제로데이는 익명의 보안 연구원이 보고했고, 크롬 V8 자바스크립트 엔진의 use after free 취약점이다. 공격자는 일반적으로 패치되지 않은 크롬 버전을 실행하는 컴퓨터에서 임의 코드를 실행하거나 브라우저 보안 샌드박스를 탈출하기 위해 use after free 버그들을 악용한다.

구글은 해당 제로데이를 악용하는 공격들을 인지하고 있다고 밝혔지만 세부 정보는 공유하지 않고 있다.

또한 “대부분의 사용자가 수정 버전으로 업데이트할 때까지 버그 세부 정보 및 링크에 대한 접근이 제한될 수 있다. 다른 프로젝트가 유사하게 의존하는 타사 라이브러리에 버그가 존재하거나 아직 패치되지 않은 경우에도 이 제한 사항을 유지할 것이다”라고 덧붙였다.

구글이 이 버그에 대한 추가 세부 정보를 공개하기 전에 사용자는 크롬 브라우저를 업그레이드하고 악용 시도를 방지할 수 있는 충분한 시간을 가져야 한다.

이번 업데이트를 통해 구글은 올해 초부터 총 16개의 크롬 제로데이 취약점을 해결했다.

이전에 패치된 15개 취약점 목록은 다음과 같다.

-CVE-2021-21148 - February 4th

-CVE-2021-21166 - March 2nd

-CVE-2021-21193 - March 12th

-CVE-2021-21220 - April 13th

-CVE-2021-21224 - April 20th

-CVE-2021-30551 - June 9th

-CVE-2021-30554 - June 17th

-CVE-2021-30563 - July 15th

-CVE-2021-30632 and CVE-2021-30633 - September 13th

-CVE-2021-37973 - September 24th

-CVE-2021-37976 and CVE-2021-37975 - September 30th

-CVE-2021-38000 and CVE-2021-38003 - October 28th

이번 제로데이는 공격자들이 현실에서 사용한 것으로 알려져 있기 때문에 크롬 업데이트 제공 즉시 설치해야 안전할 수 있다.

★정보보안 대표 미디어 데일리시큐!★