구글이 네 개의 취약점을 패치하며 새로운 버전의 크롬을 발표했다. 이제 6월 중순을 지나고 있는 올해에만 벌써 7번째 발견된 제로데이 취약점이 이 중에 포함되어 있다. 보안 전문가들이 슬슬 ‘난 크롬 사용하지 않는다’고 말하기 시작한다.

구글이 크롬 91.0.4472.114 버전을 발표하며 4개의 보안 취약점을 패치했다. 이 중 하나는 제로데이 취약점으로, 이미 사이버 공격자들이 발굴해 실제 공격에 활용하고 있었다고 한다.

[이미지 = pixabay]

이 취약점은 CVE-2021-30554로 크롬의 웹GL(WebGL) 자바스크립트 API에서 발견되었으며, UaF 버그로 분류된다. 공격자가 익스플로잇에 성공할 경우 크롬이 실행되고 있는 컴퓨터에서 공격자들이 임의 코드를 실행할 수 있게 된다. 이 취약점은 고위험군으로 분류됐다.

하지만 구글은 실제 어떤 공격 사례가 있었는지는 밝히지 않고 있다. 대부분의 사용자들이 패치를 적용함으로써 안전해지기 전까지 상세 내용을 공개하지 않는 것이 구글의 일반적인 취약점 공개 방식이다.

문제는 이 제로데이가 올해에만 7번째 발견되는 취약점이라는 것이다. 한 달에 한 개 꼴로 크롬에서 제로데이가 나오고 있는 상황인데, 이는 과거 제로데이 취약점의 보고로서 이미지 손상을 거듭하다가 결국 개발 중단까지 이어진 어도비 플래시(Adobe Flash)를 떠올리게 한다.

과거 플래시와 플래시 플레이어에서는 제로데이가 끊임없이 나와, 어도비가 개발하지 않겠다는 발표를 하기 한참 전부터 보안 전문가들은 시스템에서 아예 삭제하는 것을 권했었다. 이미 보안 커뮤니티나 인터넷 카페에서는 보안 업계 종사자들이 ‘난 크롬 사용을 중단했다’고 밝히고 있기도 하다.

올해 크롬에서 발견된 제로데이 취약점은 2월의 CVE-2021-21148, 3월의 CVE-2021-21166, CVE-2021-21193, 4월의 CVE-2021-21220, CVE-2021-21224, 6월의 CVE-2021-30551이다.

이번 패치를 통해 해결된 나머지 3개의 취약점은 웹오디오(WebAudio), 탭그룹스(TabGroups), 셰어링(Sharing)이라는 요소에서 발견된 메모리 변형 취약점이라고 한다.

3줄 요약
1. 구글 크롬에서 올해만 7번째 제로데이 취약점이 발견됨.
2. 웹GL 요소에서 발견된 임의 코드 실행 취약점.
3. 크롬, 어도비 플래시의 전철 밟아가려나.


출처 URL : https://www.boannews.com/media/view.asp?idx=98421