치명적인 보안 결함으로 인한 구글 크롬 브라우저 업데이트

---

치명적인 보안 결함으로 인한 구글 크롬 브라우저 업데이트 

---

Google은 Chrome 웹 브라우저 용 긴급 소프트웨어 업데이트를 발표했으며 Windows, Mac 및 Linux 사용자에게 애플리케이션을 가능한 최신 버전으로 즉시 업그레이드 할 것을 촉구하였다.

2019년 9월 25일 수요일, 전 세계 사용자에게 배포 되기 시작한 Chrome 77.0.3865.90 버전에는 1개의 중요 및 3개의 고위험 보안 취약점에 대한 보안 패치가 포함되어 있으며, 이 중 가장 심각한 취약점으로 인해 원격 해커가 영향을 받는 시스템을 제어 할 수 있다고 밝혔습니다.

 

Google has decided to keep details of all four vulnerabilities secret for a few more days in order to prevent hackers from exploiting them and give users enough time to install the Chrome update.

Google은 해커들의 공격를 막고 사용자에게 크롬 업데이트를 설치할 수 있는 충분한 시간을 주기 위해 4가지 취약점의 세부사항을 모두 며칠 더 비밀로 하기로 했습니다.

 

현재 크롬 보안팀은 웹 브라우저의 서로 다른 구성요소에 있는 네 가지 취약점 모두 use-after-free 문제로서, 그 중요성이 원격 코드 실행 공격으로 이어질 수 있다는 것만 밝혔습니다.

use-after-free 취약점은 메모리의 데이터를 손상 시키거나 수정하여 권한이 없는 사용자가 영향을 받는 시스템 또는 소프트웨어에 대한 권한을 얻을 할 수 있게 하는 일종의 메모리 손상 문제입니다.

Chrome에 의해 패치 된 취약점 77.0.3865.90

 

• Use-after-free in UI (CVE-2019-13685) — Reported by Khalil Zhani
• Use-after-free in media (CVE-2019-13688) — Reported by Man Yue Mo of Semmle Security Research Team
• Use-after-free in media (CVE-2019-13687) — Reported by Man Yue Mo of Semmle Security Research Team
• Use-after-free in offline pages (CVE-2019-13686) — Reported by Brendon Tiszka

 

 

구글은 두 가지 취약성(CVE-2019-1368의 경우 2만 달러, CVE-2019-1368의 경우 2만 달러)에 대해 총 4만 달러의 보상금을 지불했지만 나머지 두 가지 취약성에 대한 버그 보상은 아직 결정되지 않았습니다.

이러한 취약성에 대한 공격이 성공하면 공격자는 더 이상의 상호작용을 요구하지 않고 대상 크롬 브라우저에서 특수하게 조작된 웹 페이지를 열거나 리디렉션하는 것만으로도 브라우저의 맥락에서 임의 코드를 실행할 수 있습니다.

이전의 공개에 근거하여, use-after-free 결함은 애플리케이션과 관련된 권한에 따라 민감한 정보 공개, 보안 제한 우회, 허가되지 않은 조치 및 서비스 거부 조건의 원인이 될 수도 있다.

Google Chrome은 사용자에게 최신 버전을 자동으로 알려 주지만, 사용자들은 메뉴에서 "도움말 → Google Chrome 정보"로 이동하여 수동으로 업데이트를 하는 것을 권장하고 있습니다.

 

마지막으로 use-after-free 취약점이란, 말 그대로 사용한 후 해제했을 때 발생하는 취약점 입니다. 정확히는 heap space에서 alloc된 공간을 free하고 reuse할 때에 일어날 수 있는 취약점입니다.

 

 

 

 

 

[출처] https://thehackernews.com/2019/09/google-chrome-update.html