Google은 월요일에 Chrome 브라우저에 대한 11가지 보안 수정 사항을 발표했습니다. 여기에는 야생에서 공격자가 적극적으로 사용하는 심각도가 높은 제로데이 버그가 포함됩니다.
간략한 업데이트에서 Google 은 CVE-2022-0609 로 추적되는 취약점을 Chrome의 애니메이션 구성요소에 있는 use-after-free 취약점으로 설명했습니다. 이러한 종류의 결함은 유효한 데이터의 손상에서 취약한 시스템에서 임의의 코드 실행에 이르기까지 모든 종류의 불행을 초래할 수 있습니다. 이러한 결함은 브라우저의 보안 샌드박스를 탈출하는 데에도 사용될 수 있습니다.
보안 업데이트에 따르면 "구글은 CVE-2022-0609에 대한 익스플로잇이 존재한다는 보고를 알고 있습니다."
애니메이션 문제를 해결하기 위해 10가지 다른 보안 문제와 함께 Google은 Windows, Mac 및 Linux용 Chrome 98.0.4758.102를 출시했으며 앞으로 며칠 또는 몇 주에 걸쳐 출시될 예정입니다.
그러나 Chrome 사용자는 Chrome 메뉴 > 도움말 > Chrome 정보로 이동하여 바로 수정할 수 있습니다.
제로데이가 공격을 받고 있다는 점을 감안할 때 Chrome 업데이트는 최대한 빨리 이루어져야 합니다.
크롬 보안 업데이트. 출처: 구글.
Animation 제로 데이에 대한 크레딧은 Google의 위협 분석 그룹(TAG)의 Adam Weidemann과 Clément Lecigne에게 돌아갑니다.
월요일의 업데이트는 또한 Chrome의 Webstore API, 파일 관리자, ANGLE 및 GPU에서 발견된 심각도가 높은 사후 사용 후 결함 4개를 덮었습니다. 또한 회사는 Mojo 에서 심각도가 높은 정수 오버플로 와 탭 그룹에서 심각도가 높은 힙 버퍼 오버플로를 해결했습니다. 마지막으로 Google은 Gamepad API에서 부적절한 구현으로 중간 심각도 문제를 패치했습니다.
그래서 시작된다
이것은 Chrome의 첫 번째 제로데이이며 앞으로도 계속될 것입니다. 그러나 적어도 우리는 첫 번째 버그가 2월 4일에 도착한 2021년보다 10일 더 많은 새로운 해를 맞이했습니다.
작년에 총 16개의 Chrome 제로데이를 제공했습니다.
- CVE-2021-21148 – 2월 4일, V8 오픈 소스 웹 엔진의 취약점.
- CVE-2021-21166 – 3월 2일, Google Chrome 오디오 구성요소의 결함.
- CVE-2021-21193 – 3월 12일, Chromium 프로젝트의 일부로 개발된 Chrome용 브라우저 엔진 인 Blink의 use-after-free 결함입니다 .
- CVE-2021-21220 – 4월 13일, 원격 코드 실행 문제.
- CVE-2021-21224 – 4월 20일, 원격 공격자가 제작된 HTML 페이지를 통해 샌드박스 내에서 임의의 코드를 실행할 수 있는 Google Chrome의 V8 유형 혼동 문제입니다.
- CVE-2021-30551 – 6월 9일, Google의 V8 오픈 소스 JavaScript 및 WebAssembly 엔진 내의 유형 혼동 버그입니다.
- CVE-2021-30554 – 6월 17일, use-after-free 버그.
- CVE-2021-30563 – 7월 15일, V8의 유형 혼동.
- CVE-2021-30632 및 CVE-2021-30633 – 9월 13일, 각각 V8의 범위를 벗어난 쓰기 및 IndexedDB API의 무료 사용 버그입니다.
- CVE-2021-37973 – 9월 24일, Portals의 use-after-free 결함.
- CVE-2021-37976 및 CVE-2021-37975 – 9월 30일, 각각 코어의 정보 누출 및 V8의 무료 사용 버그.
- CVE-2021-38000 및 CVE-2021-38003 – 10월 28일, Android의 Google Chrome 인텐트의 신뢰할 수 없는 입력에 대한 불충분한 유효성 검사 및 V8의 부적절한 구현 문제.
- CVE-2021-4102 – 12월 13일, V8에서 무료로 사용.
