2024-07-19 11:05 (금)
크롬, 유형 혼동 취약점으로 인해 업데이트 필요
상태바
크롬, 유형 혼동 취약점으로 인해 업데이트 필요
  • 길민권 기자
  • 승인 2024.04.30 14:08
이 기사를 공유합니다

구글이 크롬의 심각한 보안 문제를 해결하는 '중요' 수정 사항을 배포하고 있다.

윈도우용 크롬 124.0.6367.78/.79, 맥 및 리눅스용 크롬 124.0.6367.78, 안드로이드용 크롬 124.0.6367.82는 크롬 웹 브라우저의 최신 버전으로, 현재 전 세계 데스크톱 및 모바일 사용자에게 배포되고 있다.

언뜻 보기에 이번 릴리스는 다른 대부분의 정기적인 크롬 업데이트와 비슷해 보인다. 하지만 변경 로그를 자세히 살펴보면 이 '유지 관리' 업데이트에 대한 중요한 세부 사항을 알 수 있다. 이 업데이트는 네 가지 보안 결함을 해결하며, 그 중 하나는 구글에서 '중요'로 분류한 것이다.

CVE-2024-4058로 추적되는 이 유형 혼동 문제는 크롬의 그래픽 렌더링 모듈 ANGLE에서 발생하는 것으로, 구글의 최고 위험 등급을 받을 만큼 심각한 문제이다.

해커가 패치를 리버스 엔지니어링하여 익스플로잇을 개발하기 전에 사용자가 업데이트할 수 있도록 기술적 세부 사항을 비밀에 부치고 있다.

유형 혼동 취약점은 익스플로잇 체인의 일부로 적절히 악용될 경우, 의심하지 않는 피해자의 입력이 거의 또는 전혀 없이 원격 코드 실행으로 이어질 수 있어 동기 부여가 된 공격자가 대상 디바이스에서 데이터를 훔치고 멀웨어까지 배포할 수 있게 해준다.

구글은 4월 초에 이 버그를 신고한 두 명의 화이트햇인 Toan (suto) Pham과 Bao (zx) Pham에게 16,000달러의 버그 현상금을 지급했다.

이 중요한 수정 사항 외에도 이번 업데이트는 위험도가 '높음'으로 분류된 두 가지 보안 버그, 즉 V8 API의 범위를 벗어난 읽기 결함과 크로미움 프로젝트의 기본 구현인 Dawn의 Use-after-Free 문제를 해결한다.

최근 스파이웨어 공격자들은 패치가 적용되지 않은 크롬 인스턴스를 노리고 있으며, 이에 따라 구글은 데스크톱과 모바일 플랫폼 모두에서 사용자 기반을 위한 보안 패치 개발에 박차를 가하고 있다.

크롬의 안드로이드 버전은 일반적으로 데스크톱 버전과 동일한 수정 사항이 적용되며, 이번 릴리스도 마찬가지이다.

애플 고객에게는 위에서 설명한 중대한 문제의 영향을 받지 않는 일반적인 '안정성 및 성능 개선'만 포함된 아이폰 및 아이패드용 크롬 업데이트 버전도 제공된다.

특히 해결된 문제가 심각하다고 표시된 경우, 공급업체에서 보안 수정 사항을 제공하는 즉시 업데이트하는 것이 강력히 권장된다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★