구글은 관련 게시물에서 “해당 업데이트에는 4가지 보안 패치가 포함된다. 아래 외부 연구원들이 제공한 취약점 관련 정보를 적어 놓았다. 더 자세한 내용은 크롬 보안 페이지를 참고하기 바란다”고 언급했다.
다음은 구글의 취약점 관련 공지내용이다.
△[바운티 보상 금액 미정] Critical(심각): 샌드박스 이스케이프로 이어지는 심각 수준 취약점. 익명의 인물이 2018년 4월 23일에 제보.
-High CVE-2018-6121: 확장프로그램 권한 상승 취약점
-High CVE-2018-6122: V8에 존재하는 타입 컨퓨전 취약점
△[$5000]High CVE-2018-6120: PDFium의 힙 버퍼오버플로우. Qihoo 360 Vulcan팀의 Zhou Aiting(@zhouat1)가 2018년 4월 17일에 제보.
3개 취약점이 외부 연구원에 의해 보고 되었고, 가장 심각한 문제는 확장 프로그램 권한 상승 취약점(CVE-2018-6121)과 V8의 타입 컨퓨전 취약점(CVE-2018-6122)이다. 익명의 연구원은 두가지 결함을 연결하면 샌드박스 이스케이프가 가능하고 원격 공격자가 타깃 시스템을 제어할 수 있게 된다고 보고했다.
또한 치후360(Qihoo 360) 불칸(Vulcan)팀의 Zhou Aiting(@zhouat1)이 PDFium의 힙 오버플로우 취약점(CVE-2018-6120)을 발견해 구글이 패치를 진행했고, Zhou Aiting는 5천달러의 버그바운티 보상을 받았다.
4월에 구글은 크롬의 다른 치명적인 결함을 해결하기 위해 보안 패치를 진행했고, 해당 취약점들은 크롬 버전 66.0.3359.170에서 수정 완료되었다.
★정보보안 대표 미디어 데일리시큐!★