6월 17일, 구글이 4가지 보안 취약점을 수정하는 윈도우, 맥, 그리고 리눅스용 크롬 91.0.4472.114를 배포했다. 이중 하나는 실제 공격에서 악용된 아주 심각한 제로데이 취약점이다.
공지에 따르면, 구글은 실제 공격에서 CVE-2021-30554 취약점이 악용되고 있다는 사실을 인지하고 있었다. 해당 제로데이는 플러그인을 사용하지 않고 2D와 3D 그래픽을 렌더링하기 위해 크롬 웹 브라우저에서 사용하는, WebGL(웹 그래픽 라이브러리) 자바스크립트 API에 존재하는 use-after-free 취약점에 의해 발생한다.
공격자는 해당 취약점을 악용해 패치되지 않은 크롬 버전을 사용하는 컴퓨터에서 임의 코드 실행이 가능하다.
구글은 CVE-2021-30554의 악용을 인지하고 있었으나 “버그 세부 정보 및 링크는 대다수 사용자가 수정 사항을 업데이트할 때까지 제한될 수 있다. 또한 아직 수정되지 않은 써드파티 라이브러리에 버그가 있는 경우에도 제한된다”고 설명하며 이들 공격에 대한 상세 정보는 공유하지 않았다고 브리핑컴퓨터가 보도했다.
CVE-2021-30554 외에도 각각 크롬 Sharing, WebAudio, TabGroups 컴포넌트에 존재하는 3개의 심각한 use-after-free 취약점들(CVE-2021-30555, CVE-2021-30556, CVE-2021-30557)도 수정했다.
이번 업데이트는 올해 공격에서 악용된 구글 크롬의 일곱번째 제로데이 취약점을 수정했으며, 나머지 6개 제로데이 리스트는 다음과 같다.
-CVE-2021-21148 – 2021년 2월 4일
-CVE-2021-21166 - 2021년 3월 2일
-CVE-2021-21193 - 2021년 3월 12일
-CVE-2021-21220 - 2021년 4월 13일
-CVE-2021-21224 - 2021년 4월 20일
-CVE-2021-30551 - 2021년 6월 9일
◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)
-개최일: 2021년 7월 6일(화)
-장소: 서울 양재동 더케이호텔서울 2층 가야금홀
-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명
-보안교육이수: 7시간 인정
-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★