구글, 사이버 공격에 악용되는 심각한 제로데이 취약점…긴급 크롬 업데이트 발표

구글이 현실에서 악용되는 심각도 높은 제로데이 취약점을 해결하기 위해 윈도우, Mac 및 리눅스용 크롬 96.0.4664.110을 출시했다고 브리핑컴퓨터가 보도했다.

구글은 오늘 보안 권고를 통해 CVE-2021-4102 취약점에 대한 익스플로잇이 존재한다는 사실을 인지하고 있다고 밝혔다.

회사는 해당 업데이트가 모든 사용자에게 도달하는데 시간이 소요될 수 있다고 설명했으나, 이미 Stable Desktop 채널에서 전 세계적으로 크롬 96.0.4664.110 버전이 배포 중이다.

사용자는 크롬 메뉴 > 도움말 > 구글 크롬 정보에서 새 업데이트를 확인해 즉시 사용할 수 있다. 브라우저는 또한 최근 업데이트를 자동으로 확인하고 다음 실행 후 자동으로 업데이트한다.

오늘 수정된 CVE-2021-4102로 추적되는 제로데이는 익명의 보안 연구원이 보고했고, 크롬 V8 자바스크립트 엔진의 use after free 취약점이다. 공격자는 일반적으로 패치되지 않은 크롬 버전을 실행하는 컴퓨터에서 임의 코드를 실행하거나 브라우저 보안 샌드박스를 탈출하기 위해 use after free 버그들을 악용한다.

구글은 해당 제로데이를 악용하는 공격들을 인지하고 있다고 밝혔지만 세부 정보는 공유하지 않고 있다.

또한 “대부분의 사용자가 수정 버전으로 업데이트할 때까지 버그 세부 정보 및 링크에 대한 접근이 제한될 수 있다. 다른 프로젝트가 유사하게 의존하는 타사 라이브러리에 버그가 존재하거나 아직 패치되지 않은 경우에도 이 제한 사항을 유지할 것이다”라고 덧붙였다.

구글이 이 버그에 대한 추가 세부 정보를 공개하기 전에 사용자는 크롬 브라우저를 업그레이드하고 악용 시도를 방지할 수 있는 충분한 시간을 가져야 한다.

이번 업데이트를 통해 구글은 올해 초부터 총 16개의 크롬 제로데이 취약점을 해결했다.

이전에 패치된 15개 취약점 목록은 다음과 같다.

-CVE-2021-21148 - February 4th

-CVE-2021-21166 - March 2nd

-CVE-2021-21193 - March 12th

-CVE-2021-21220 - April 13th

-CVE-2021-21224 - April 20th

-CVE-2021-30551 - June 9th

-CVE-2021-30554 - June 17th