크롬 브라우저에서 위험한 취약점들이 발견됐다. 미국의 CISA는 이 중 4개가 특히 위험하다는 내용의 보안 경고문을 발표하며 사용자들의 패치를 촉구했다. 전부 정보의 무결성과 비밀성, 가용성을 손상시키는 취약점이라고 한다.

[보안뉴스 문가용 기자 ] 미국의 사이버 보안 전담 기관인 CISA가 이번 주 금요일 구글 크롬 브라우저를 최신화 하라는 경고문을 발표했다. 지난 버전에서 일곱 개의 취약점이 발견됐고, 최신 버전을 통해 모두 패치가 되었기 때문이라고 한다.

[보안뉴스 / 6.14.] 미국 CISA, 시스템 장악 가능케 하는 크롬 취약점 4개에 대한 경고문 발표

[이미지 = utoimage]

이번 권고문을 통해 언급된 건 네 개의 취약점이다. 이 중 세 개는 외부 전문가들이 먼저 발견해 구글에 제보했으며 고위험군으로 분류됐다. 하지만 아직까지 이 취약점들에 대한 세부 내용은 공개되지 않았다. 아직 충분한 크롬 사용자가 업데이트를 진행하지 않았기 때문이다. 102.0.5005.115가 최신 크롬 버전이다.

문제가 되고 있는 취약점 중 하나는 WebGPU API에서 발견된 UaF 버그로, CVE-2022-2007이라는 관리 번호가 부여됐다. 원격에서 익스플로잇이 가능하며 무결정, 비밀성, 가용성 모두에 영향을 줄 수 있다고 한다. 익스플로잇을 위해 먼저 인증을 거치지 않아도 된다고 하며, 사용자의 상호 작용을 유발해야 한다고 한다. 구글은 이 취약점을 발견한 외부 전문가에게 지난 5월 1만 달러의 상금을 수여했다.

그 다음 취약점은 WebGL API에서 발견된 아웃 오브 바운드 메모리 접근 취약점이다. 2D와 3D 그래픽을 렌더링 하는 기능에서 발견된 것이라고 하며, CVE-2022-2008이라는 관리 번호가 부여됐다. 베트남의 인터넷 보안 전문 회사인 VinCSS의 연구원 두 명이 지난 4월 발견해 제보했다. 원격에서 익스플로잇이 가능하긴 하지만 피해자의 특정 행동을 유발해야 한다. 그럼에도 익스플로잇 난이도는 낮은 편이며 인증을 통과할 필요가 없다. 발견자에게 수여할 상금 규모는 아직 결정되지 않았다고 한다.

세 번째 취약점은 고위험군으로 분석됐으며, CVE-2022-2010이라는 번호가 부여됐다. 일종의 아웃 오브 바운드 리드 취약점이며, 웹 페이지 콘텐츠를 구성할 때나 렌더링하는 기능과 관련이 있다고 한다. 구글의 프로젝트 제로 팀(Project Zero) 팀 소속 전문가가 발견했으며, 5월에 발견해 제보했다. 위의 2개와 마찬가지로 정보의 비밀성, 무결성, 가용성 모두에 영향을 미친다고 한다.

네 번째 취약점 역시 고위험군에 포함됐으며, 일종의 UaF 취약점으로 분류됐다. 외부 보안 전문가가 먼저 발견해 5월에 구글에 알렸다. 이 취약점에는 CVE-2022-2011이라는 관리 번호가 부여됐으며, 구글에 의하면 크롬 그래픽스 레이어(Graphics Layer) 엔진 내 함수 중 하나인 앵글(ANGLE)과 관련이 있다고 한다. 위의 세 취약점과 거의 같은 결과를 야기한다고 한다.

이렇게 네 가지 취약점을 언급한 CISA는 각 기업들에 “구글의 패치 개발 노트 및 보안 권고문을 상세히 검토하고 필요한 조치를 취해 위험을 완화하라”고 촉구했다. CISA가 설치를 추천한 크롬 버전은 102.0.5005.115이며, 이것이 현재까지 나온 크롬 중 최신 버전이라고 한다. 또한 CISA는 위의 취약점들을 익스플로잇 할 경우 공격자가 시스템을 장악할 수 있다고 밝혔다.

구글이 최신 버전을 통해 다룬 취약점의 개수는 총 7개인데, 이는 기존 크롬 취약점 패치를 생각했을 때 대단히 작은 숫자다. 지난 5월의 경우 구글 크롬 취약점 32개가 패치됐고, 그 중 하나는 초고위험도를 가진 것으로 분석됐었다. 고위험도 취약점도 7개가 포함되어 있었다.

한편 크롬은 최근 공격자들이 가장 관심을 가지고 연구하고 분석하고 찔러보는 소프트웨어 중 하나다. 어도비 플래시가 차지하고 있던 자리를 크롬이 넘보고 있다는 소리도 보안 업계에서 나올 정도다. 제로데이도 상당히 많이 발견되는 추세다. 이 때문에 보안 전문가들 중 크롬이 아니라 다른 브라우저를 사용하라고 권고하는 이들도 하나 둘 생겨나고 있다.

3줄 요약
1. 구글 크롬에서 지난 달 7개 취약점이 패치됨.
2. 그 중 4개가 심각한 문제 초래할 수 있어 CISA가 정식 경고.
3. 크롬은 최근 공격자들이 가장 관심을 기울이는 소프트웨어 중 하나.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>