2020.02.06

엣지 브라우저, “크롬급 패치 속도” 약속…권고 문서로 확인 가능

Gregg Keizer | Computerworld
마이크로소프트가 새로운 보안 권고 문서를 게시했다. 이 문서는 앞으로 자사의 크로미엄 기반 엣지 브라우저에 대한 모든 업데이트를 기록하는데, 사용자를 이를 통해 엣지 브라우저가 구글의 크롬 패치 속도를 제대로 쫓아가고 있는지 확인할 수 있다. 
 
ⓒ Microsoft

2월 6일 수요일 낮 기준으로 이 권고문에는 하나의 목록이 올라와 있다. 1월 17일 자의 이 아이템은 4건의 CVE(Common Vulnerabilities and Exposures) 확인 취약점을 알리는 내용이다. 패치가 포함된 엣지 버전과 대응 크로미엄 버전도 표시되어 있다. 크롬은 여러 가지 이유로 크로미엄의 버전을 변경없이 그대로 사용하지만, 마이크로소프트는 다르다. 따라서 이 권고문은 엣지 특정 버전과 크롬 특정 버전이 연결되는 것을 보여주는 첫 문서이다.

구글은 크롬 79.0.3945.130을 1월 16일 출시하며 11건의 취약점에 대한 패치가 포함된 중간 업데이트라고 밝혔다. 보통 때처럼 구글은 11건 중 CVE로 확인된 4건만 공개했다. 이 4건은 마이크로소프트가 엣지에서 해결한 취약점과 동일하다. 크롬 새 버전보다 하루 뒤에 나온 엣지 업데이트의 버전은 79.0.309.68이다.
 
ⓒ Microsoft

다시 말해 구글이 크롬 새 버전을 발표한 지 하루 만에 마이크로소프트가 엣지를 패치한 것으로, 본질적으로 업데이트 시간이 전혀 뒤처지지 않는다. 만약 둘 사이에 시차가 있으면, 공격자가 패치를 역공학해 취약점을 악용할 수도 있을 것이다.

아직 시차가 확실하지는 않다. 지난 2월 4일 구글은 크롬 80, 구체적으로는 버전 80.0.3987.87을 발표했다. 새로운 기능과 56건의 보안 수정이 포함된 버전이다. 구글은 56건의 보안 패치 중 37건은 CVE 확인 취약점이며, 이중 10건은 위험도 ‘높음’으로 표시했다.

하지만 동부 표준시 기준 6일 오후 2시 현재, 마이크로소프트는 크롬 80을 반영한 엣지 업데이트를 내놓지 않고 있다. editor@itworld.co.kr


2020.02.06

엣지 브라우저, “크롬급 패치 속도” 약속…권고 문서로 확인 가능

Gregg Keizer | Computerworld
마이크로소프트가 새로운 보안 권고 문서를 게시했다. 이 문서는 앞으로 자사의 크로미엄 기반 엣지 브라우저에 대한 모든 업데이트를 기록하는데, 사용자를 이를 통해 엣지 브라우저가 구글의 크롬 패치 속도를 제대로 쫓아가고 있는지 확인할 수 있다. 
 
ⓒ Microsoft

2월 6일 수요일 낮 기준으로 이 권고문에는 하나의 목록이 올라와 있다. 1월 17일 자의 이 아이템은 4건의 CVE(Common Vulnerabilities and Exposures) 확인 취약점을 알리는 내용이다. 패치가 포함된 엣지 버전과 대응 크로미엄 버전도 표시되어 있다. 크롬은 여러 가지 이유로 크로미엄의 버전을 변경없이 그대로 사용하지만, 마이크로소프트는 다르다. 따라서 이 권고문은 엣지 특정 버전과 크롬 특정 버전이 연결되는 것을 보여주는 첫 문서이다.

구글은 크롬 79.0.3945.130을 1월 16일 출시하며 11건의 취약점에 대한 패치가 포함된 중간 업데이트라고 밝혔다. 보통 때처럼 구글은 11건 중 CVE로 확인된 4건만 공개했다. 이 4건은 마이크로소프트가 엣지에서 해결한 취약점과 동일하다. 크롬 새 버전보다 하루 뒤에 나온 엣지 업데이트의 버전은 79.0.309.68이다.
 
ⓒ Microsoft

다시 말해 구글이 크롬 새 버전을 발표한 지 하루 만에 마이크로소프트가 엣지를 패치한 것으로, 본질적으로 업데이트 시간이 전혀 뒤처지지 않는다. 만약 둘 사이에 시차가 있으면, 공격자가 패치를 역공학해 취약점을 악용할 수도 있을 것이다.

아직 시차가 확실하지는 않다. 지난 2월 4일 구글은 크롬 80, 구체적으로는 버전 80.0.3987.87을 발표했다. 새로운 기능과 56건의 보안 수정이 포함된 버전이다. 구글은 56건의 보안 패치 중 37건은 CVE 확인 취약점이며, 이중 10건은 위험도 ‘높음’으로 표시했다.

하지만 동부 표준시 기준 6일 오후 2시 현재, 마이크로소프트는 크롬 80을 반영한 엣지 업데이트를 내놓지 않고 있다. editor@itworld.co.kr


X