Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Google, Chrome 90 릴리즈 출시
작성일 2021-04-29 조회 91

 

 

Google은 8가지 보안 취약점을 해결하기 위해 Chrome 90 stable channel 릴리스를 출시했다.

 

Google의 Chrome 브라우저에는 몇 가지 보안 취약성이 있었다. 이는 사용자 브라우저 내에서 RCE(원격 코드 실행)를 허용 할 수있는 V8 버그를 포함하여 여러 유형의 공격으로 이어질 수 있는 취약점들이다. 심각도가 높은 V8 문제는 CVE-2021-21227로, Singular Security Lab의 Gengming Liu가 보고했다. 구글은 이 버그를 "V8의 불충분한 데이터 유효성 검사"로 인한 것으로 설명하지만 다른 세부 사항은 아직 알리지 않고 있다.

 

그러나 Liu는 SecurityWeek를 통해 “공격자가 Chrome이 실행되고 있는 샌드 박스를 탈출 할 수 없기 때문에 버그가 다소 완화되었다”라고 말했다. 즉, 공격자가 샌드박스를 탈출할 수 없으므로 사용자 컴퓨터의 다른 프로그램, 데이터 및 애플리케이션에 접근 할 수 없다. 따라서 CVE-2021-21227를 통해 브라우저 자체를 넘어서 타겟 컴퓨터까지 공격하기 위해서는 다른 취약점과 연결되어야 한다.

 

연구원은 또한 이전에 패치된 V8 취약점(CVE-2020-16040, CVE-2020-15965)과 이번에 발견된 취약점(CVE-2021-21227)이 관련이 있다고 언급했다. 첫 번째(CVE-2020-16040)는 사용자가 특수 제작된 웹 페이지를 방문하거나 리디렉션되는 경우 원격 공격자가 힙 손상을 악용 할 수 있도록한다. 후자(CVE-2020-15965)는 type-confusion 버그로 원격 공격자가 범위를 벗어난 메모리 액세스를 수행 할 수 있으며, 조작된 HTML 페이지를 이용해 익스플로잇할 수 있다.

 

Chrome 90에서 패치한 9개의 Google크롬 취약점에 대한 세부 정보는 다음과 같다. 이는 Chrome와 Chromium 프레임 워크를 사용하는 Microsoft Edge와 같은 다른 브라우저에 영향을 준다.

 

 

 

                    CVE-2021-21227 : V8 구성 요소에 존재하는 불충분한 데이터 유효성 검사로 인한 취약점.

                    CVE-2021-21228 : extension에 존재하는 불충분한 정책 시행 관련 취약성.

                    CVE-2021-21229 : 다운로드에 존재하는 잘못된 보안 UI 취약점.

                    CVE-2021-21230 : V8 구성 요소에 존재하는 Type-confusion 취약점.

                    CVE-2021-21231 : V8 구성 요소에서 불충분한 데이터 유효성 검사로 인한 취약점.

                    CVE-2021-21232 : Dev Tools 구성 요소에 존재하는 Use-after-free 취약점.

                    CVE-2021-21233 : ANGLE 구성 요소에 존재하는 힙 버퍼 오버플로우 취약점.

 

[ Chrome 90에서 패치한 9개의 Google크롬 취약점 ]

 

 

 

Google은 최신 stable channel 릴리즈(90.0.4430.93)에서 결함을 해결했다. 크롬 90 업데이트는 윈도우, 맥, 리눅스 기반 Chrome 브라우저에 모두 해당되며, 앞으로 며칠과 몇 주에 걸쳐 배포 될 것으로 보인다.

 

 

 

 

 

출처

https://threatpost.com/google-chrome-v8-bug-remote-code-execution/165662/ 

https://www.securityweek.com/google-patches-yet-another-serious-v8-vulnerability-chrome

첨부파일 첨부파일이 없습니다.
태그 Google  Chrome  CVE-2021-21227