구글, 실제 공격에 활용되던 올해 7번째 크롬 제로데이 취약점 패치

6월 17일, 구글이 4가지 보안 취약점을 수정하는 윈도우, 맥, 그리고 리눅스용 크롬 91.0.4472.114를 배포했다. 이중 하나는 실제 공격에서 악용된 아주 심각한 제로데이 취약점이다.

공지에 따르면, 구글은 실제 공격에서 CVE-2021-30554 취약점이 악용되고 있다는 사실을 인지하고 있었다. 해당 제로데이는 플러그인을 사용하지 않고 2D와 3D 그래픽을 렌더링하기 위해 크롬 웹 브라우저에서 사용하는, WebGL(웹 그래픽 라이브러리) 자바스크립트 API에 존재하는 use-after-free 취약점에 의해 발생한다.

공격자는 해당 취약점을 악용해 패치되지 않은 크롬 버전을 사용하는 컴퓨터에서 임의 코드 실행이 가능하다.

구글은 CVE-2021-30554의 악용을 인지하고 있었으나 “버그 세부 정보 및 링크는 대다수 사용자가 수정 사항을 업데이트할 때까지 제한될 수 있다. 또한 아직 수정되지 않은 써드파티 라이브러리에 버그가 있는 경우에도 제한된다”고 설명하며 이들 공격에 대한 상세 정보는 공유하지 않았다고 브리핑컴퓨터가 보도했다.

CVE-2021-30554 외에도 각각 크롬 Sharing, WebAudio, TabGroups 컴포넌트에 존재하는 3개의 심각한 use-after-free 취약점들(CVE-2021-30555, CVE-2021-30556, CVE-2021-30557)도 수정했다.

이번 업데이트는 올해 공격에서 악용된 구글 크롬의 일곱번째 제로데이 취약점을 수정했으며, 나머지 6개 제로데이 리스트는 다음과 같다.

-CVE-2021-21148 – 2021년 2월 4일

-CVE-2021-21166 - 2021년 3월 2일

-CVE-2021-21193 - 2021년 3월 12일

-CVE-2021-21220 - 2021년 4월 13일

-CVE-2021-21224 - 2021년 4월 20일

-CVE-2021-30551 - 2021년 6월 9일

◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명