구글이 공격자가 적극적으로 악용한2개 제로데이 취약점을 수정하기 위해 윈도우, Mac및 리눅스용 크롬 95.0.4638.69를 출시했다. 구글은 이번 보안 픽스 목록에서 “구글은 CVE-2021-38000과 CVE-2021-38003 익스플로잇이 존재한다는 것을 인지하고 있다.”고 밝혔다.

구글은 새 버전 업데이트가 모든 사람에게 도달하기 까지는 시간이 걸릴 수 있다고 설명했으며, 사용자는 업데이트를 즉시 설치하기 위해 메뉴 > 도움말 > 정보로 이동하여 업데이트를 진행할 수 있다.

이번 크롬 업데이트는 실제 사이버공격에 악용된 것으로 알려진 제로데이 2개를 포함해 총7개 취약점을 수정한다.

CVE-2021-38000으로 추적되는 첫번째 제로데이는 인텐트의 신뢰할 수 없는 입력에 대한 충분하지 않은 유효성 검사로 인해 발생하며, 높은 심각도 수준으로 평가되었다. 이 취약점은 구글 위협 분석 그룹 Clement Lecigne, Neel Mehta, Maddie Stone이9월15일 발견하였다.

두번째 제로데이 CVE-2021-38003은 크롬V8엔진의 부적절한 구현으로 발생한, 심각도 높은 취약점이다. 이 취약점 또한 Lecigne에 의해 10월24일 발견되었다.

현재 구글과 연구원들은 공격자가 취약점을 악용하는 방법에 대한 상세 내용을 공개하지 않았다. 그러나 위협 분석 그룹이나 프로젝트 제로의 향후 보고서에서 더 자세한 내용을 알 수 있을 것으로 보인다.

한편, 구글은 2021년 초부터 15개의 크롬 제로데이 취약점을 패치했다.

- CVE-2021-21148 - February 4th, 2021

- CVE-2021-21166 - March 2nd, 2021

- CVE-2021-21193 - March 12th, 2021

- CVE-2021-21220 - April 13th, 2021

- CVE-2021-21224 - April 20th, 2021

- CVE-2021-30551 - June 9th, 2021

- CVE-2021-30554 - June 17th, 2021

- CVE-2021-30563 - July 15th, 2021

- CVE-2021-30632 and CVE-2021-30633 - September 13th

- CVE-2021-37973 - September 24th, 2021

- CVE-2021-37976 and CVE-2021-37975 - September 30th, 2021

구글은 현재 보고된 제로데이를 수정하기 위해 새 업데이트를 제공하고 있고, 사용자들에게 새 버전이 제공되는 대로 설치할 것을 권고하고 있다.

---

◈[PASCON 2021] 공공•금융•기업 정보보안&개인정보보호 컨퍼런스에 초대합니다.

-2022년 공공∙기업 정보보안책임자/실무자를 위한 최고의 컨퍼런스-

△주최: 데일리시큐

△후원: 개인정보보호위원회•한국인터넷진흥원•한국정보보호산업협회

△참석대상: 공공기관•공기업•정부산하기관•금융기관•의료•교육•일반기업 개인정보보호 및 정보보호 담당자, IT담당자 등 1,000여 명 참석

(※위 관계자 이외 일반인은 참석 금지)

△일시: 2021년 11월 11일 목요일(오전9시~오후5시30분)

△장소: 더케이호텔서울 2층 가야금홀 전관

△솔루션전시회: 국내•외 최신 개인정보보호 및 정보보호 솔루션

△교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정

△사전등록: 클릭

△문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★