보안

구글, 긴급 보안 업데이트 배포··· “올해 첫 제로데이 취약점”

Alaina Yee | PCWorld 2023.04.18
공격자들이 크롬에서 새로운 결함을 악용하고 있다. 손상된 기기에서 악성코드를 실행할 수 있는 취약점이다. 지난 금요일(현지 시각) 긴급 보안 업데이트와 함께 공개된 이 취약점(CVE-2023-2033)은 패치가 필요하며, 현재 크롬 및 기타 크로미움 브라우저(예 : 엣지) 사용자는 패치를 받을 수 있다. 해당 취약점은 실제 공격에 악용되고 있기 때문에(in the wild) 사용자는 즉시 크롬을 업데이트해야 한다고 구글은 권고했다. 

업데이트가 이미 크롬 사본에 푸시됐다면 창 오른쪽 상단에 작은 알림이 표시될 것이다. 엣지 사용자도 마찬가지다. 버튼을 클릭해 패치를 적용하고 브라우저를 다시 시작한다. 그렇지 않다면 다음의 안내에 따라 브라우저 버전 번호를 수동으로 확인하고 패치를 적용하라. 

•크롬(Chrome): 메뉴 표시줄 맨 오른쪽에 있는 설정 아이콘(점 3개)을 클릭한다. 그다음 도움말 > 구글 크롬 정보를 선택한다. 아니면 주소창에 chrome://settings/help를 입력해도 된다. 

• 엣지(Edge): 메뉴 표시줄 맨 오른쪽에 있는 설정 아이콘(점 3개)을 클릭한다. 그다음 도움말 및 피드백 > 마이크로소프트 엣지 정보를 선택한다. 주소 표시줄에 edge://settings/help를 입력하는 방법도 있다. 
 
아직 업데이트가 적용되지 않은 크롬 버전 ⓒPCWorld

크롬 정보 화면을 열었을 때 아직 최신 버전으로 업데이트되지 않았다면 크롬이 자동으로 패치를 다운로드하기 시작한다. 그러면 버전 112.0.5615.121로 업데이트된다. 버전 번호과 일치하는지 확인하라. 크롬이 설치된 PC 중 한 대를 확인했을 때 112.0.5615.86이라면, 패치가 아직 적용되지 않았다는 의미다. 엣지 사용자도 동일한 프로세스가 적용되지만 최종 버전 번호는 112.0.1722.48이다.  

구글에 따르면 이 취약점은 이전에 발견된 적 있는 크롬 V8 자바스크립트 엔진의 유형 혼동 버그를 기반으로 한다. 구글 크롬 V8은 구글의 오픈소스 자바스크립트 및 웹어셈블리 엔진이다. 지난 화요일 구글의 위협 분석 그룹(Threat Analysis Group) 소속 클레망 르시뉴가 보고한 해당 익스플로잇은 윈도우, 리눅스, 맥OS에 영향을 미친다. 구글은 공격자가 이 버그를 어떻게 조작했는지 자세한 내용은 아직 공개하지 않았다. “대부분 사용자가 픽스를 업데이트할 때까지 버그 세부 정보 및 링크 액세스가 계속 제한될 수 있다”라고 밝혔다. 

국가 취약점 데이터베이스를 운영하는 미국 NIST는 해당 취약점에 관한 CVE 설명에서 “112.0.5615.121 이전의 구글 크롬에서 V8의 유형 혼동으로 원격 공격자가 조작된 HTML 페이지를 통해 잠재적으로 힙(heap) 손상을 악용할 수 있다”라고 전했다. 

한편 이는 올해 크롬에서 보고된 첫 번째 제로데이 취약점이다. 작년 12월 구글은 V8에서 다른 유형 혼동 취약점이 발견된 후 크롬 업데이트를 배포한 바 있다. 사이버 보안 업체 NS포커스(NSFocus)는 12월 크롬 업데이트와 관련해 “유형 혼동 오류는 프로그램이 리소스를 할당하거나 초기화할 때 한 가지 유형의 방법을 사용하지만, 해당 리소스에 액세스할 때는 다른 방법을 사용해 범위를 벗어난 메모리 액세스로 이어질 때 발생한다”라며, “원격 공격자는 사용자가 특수하게 조작된 웹사이트를 방문하도록 유도해 궁극적으로 임의의 코드를 실행하거나 시스템에서 서비스 거부를 일으킬 수 있다”라고 설명했다. 

작년에는 크롬에서 총 9개의 제로데이 취약점이 발견됐다. 시놉시스(Synopsys)의 보고서에 의하면 2022년 알려진 오픈소스 취약점의 수는 2021년에 비해 4% 증가했다. 연구진이 조사한 모든 사용 및 독점 코드베이스의 84%에서 알려진 오픈소스 취약점이 1개 이상 발견됐다. 아울러 48%의 코드베이스에는 고위험 취약점이 포함돼 있었다. 
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.