2020-10-02 06:25 (금)
구글, 실제 해킹공격에 악용된 크롬 제로데이 취약점 패치
상태바
구글, 실제 해킹공격에 악용된 크롬 제로데이 취약점 패치
  • 장성협 기자
  • 승인 2020.03.02 12:47
이 기사를 공유합니다

구글이 악용된 악용된 제로데이(CVE-2020-6418)를 포함하여 3가지 심각한 취약점을 해결하는 크롬 80 업데이트(버전 80.0.3987.122)를 배포했다. CVE-2020-6418 취약점은 크롬 브라우저에서 사용하는 V8 오픈소스 자바스크립트 엔진에 영향을 미치는 타입 컨퓨전 문제이다.

구글은 다른 위협 행위자들의 해당 취약점을 악용을 막기 위해 취약점 익스플로잇에 대한 상세 내용은 공개하지 않았다. 이 취약점은 구글 위협 분석 그룹의 Clement Lecigne에 의해 발견되었다.

구글이 수정한 나머지 결함은 ICU 정수 오버플로우와 스트림 구성 요소의 out-of-bound 메모리 액세스 문제이다. 정수 오버플로우는 보안 전문가 André Bargull이 발견했고, 5천달러의 보상을 받았다.

크롬 80 업데이트 배포(버전 80.0.3987.122)로 해결된 out-of-bound 취약점은 구글 프로젝트 제로의 Sergei Glazunov에 의해 발견되었다. 이는 지난 해 in the wild에서 공격자가 악용한 세번째 크롬 제로데이이다.

2019년 2월 Clement Lecigne은 원격 공격자가 임의 코드를 실행하고 대상 컴퓨터를 완전히 제어할 수 있는 심각 수준의 크롬 제로데이 결함을 발견했다. CVE-2019-5786으로 추적된 이 취약점은 웹 브라우징 소프트웨어에 존재하고, 윈도우, 애플 macOS 및 리눅스를 포함한 모든 주요 운영체제에 영향을 미친다.

2019년 11월 구글은 크롬 브라우저의 2가지 심각한 취약점을 해결하기 위한 보안 업데이트를 발표했는데, 이중 하나는 실제로 컴퓨터를 하이재킹하기 위한 공격에 활발히 악용될 수 있는 취약점이었다. 이들 취약점 중 하나는 CVE-2019-13720으로, 한국 관련 공격자에 귀속된 캠페인에서 악용되었다.

★정보보안 대표 미디어 데일리시큐!★