2024-03-29 16:50 (금)
트위터에 구글 크롬, MS 엣지 제로데이 보안취약점 정보 공개돼
상태바
트위터에 구글 크롬, MS 엣지 제로데이 보안취약점 정보 공개돼
  • hsk 기자
  • 승인 2021.04.13 21:43
이 기사를 공유합니다

해외 보안연구원이 트위터를 통해 현재 버전 구글 크롬 및 마이크로소프트 엣지에서 작동하는 제로데이 원격 코드 실행 취약점을 공개했다. 취약점은 공개되었고 아직 패치되지 않은 상태라 위험한 상황이다.

모 보안연구원은 크로미움 기반 브라우저에서 V8 자바스크립트 엔진의 원격 코드 실행 취약점의 개념 증명 익스플로잇을 발표했다. 그는 V8 자바스크립트 엔진 최신 버전에서는 취약점이 수정되었다고 언급했다.

PoC HTML 파일 및 해당 자바스크립트 파일이 크로미움 기반 브라우저에 로드되면 취약점을 악용해 윈도우 계산기 프로그램을 시작한다.

소프트웨어에서 제로데이가 발견되는 것을 좋아할 개발자는 없지만, 다행인 것은 그가 발견한 제로데이가 현재 브라우저 샌드박스에서 벗어날(escape) 수 없다는 것이다. 크롬 샌드박스는 원격 코드 실행 취약점이 호스트 컴퓨터에서 프로그램을 시작하지 못하도록 하는 브라우저 보안 경계이다.

테스트를 위해 샌드박스를 비활성화한 후 익스플로잇을 사용하면 윈도10에서 계산기를 띄울 수 있다.

그는 RCE 익스플로잇이 작동하기 위해서는 익스플로잇이 크로미움 샌드박스를 벗어날 수 있는 다른 취약점과 연결되어야 한다.

악용 가능한 버전은 구글 크롬 89.0.4389.114 및 마이크로소프트 엣지 89.0.774.76이다.

또 해당 취약점은 Pwn2Own(폰투오운) 2021에서 Dataflow Security Bruno Keith, Niklas Baumstark가 사용한 것과 동일한 것으로 보인다.

구글은 곧 크롬 90을 출시할 것으로 예상되며, 향후 버전에 이 제로데이 RCE에 대한 수정 사항이 포함될 것으로 보인다.


■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최

-주최: 데일리시큐

-후원: 개인정보보호위원회·한국인터넷진흥원·한국정보보호산업협회

-2021년 4월 28일~29일 온라인

-2일 참가시 14시간 보안교육 이수

-공공·금융·기업 보안실무자 1,500명 이상 참석

-최신 국내·외 보안솔루션 사이버 전시관 개최

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★