구글 크롬 개발자 채널에 영향 미치는 새로운 RCE 취약점 발견돼
구글 크롬 및 크로미움 기반 브라우저에서 사용되는 V8 자바스크립트 및 웹어셈블리 엔진의 최근 패치된 중요한 원격 코드 실행 취약점에 대한 세부 정보가 공개되었다.
더해커뉴스 보도에 따르면, 이 문제는 명령 최적화 구성 요소에서 use-after-free의 경우와 관련이 있으며, 이를 성공적으로 악용하면 공격자가 브라우저 컨텍스트에서 임의의 코드를 실행할 수 있다.
크롬 101의 개발자 채널 버전에서 확인된 이 결함은 싱가포르 사이버 보안 회사 보안연구원이 구글에 보고한 후 조용히 수정되었다.
이 취약점은 잘못된 명령어가 선택되어 메모리 액세스 예외가 발생하는 명령어 선택 단계에서 발생한다고 전했다.
Use-after-free 결함은 이전에 해제된 메모리에 액세스할 때 발생하여 정의되지 않은 동작을 유발하고 프로그램이 충돌하거나 손상된 데이터를 사용하거나 임의 코드를 실행하기도 한다.
더욱 우려되는 것은 이 결함이 특별히 설계된 웹사이트를 통해 원격으로 악용되어 보안 제한을 우회하고 임의의 코드를 실행하여 대상 시스템을 손상시킬 수 있다는 것이다.
연구원은 "이 취약점은 힙 스프레이 기술을 사용하여 추가로 악용될 수 있으며 'type confusion' 취약점으로 이어질 수 있다. 이 취약점으로 인해 공격자는 함수 포인터를 제어하거나 메모리의 임의 위치에 코드를 작성하여 궁극적으로 코드를 실행할 수 있다"라고 설명했다.
구글은 가능한 한 많은 사용자가 패치된 버전을 먼저 설치할 수 있도록 크로미움 버그 트래커 포털을 통해 취약점을 아직 공개하지 않았다. 또한 구글은 불안정한 크롬 채널에서 발견된 취약점에 대해서는 CVE ID를 할당하지 않는다.
크롬 사용자, 특히 애플리케이션이 최신 크롬 기능 및 API 변경 사항과 호환되는지 확인하기 위해 테스트를 위해 크롬 Dev 버전을 사용하는 개발자는 사용 가능한 최신 버전의 소프트웨어로 업데이트해야 한다.
크롬에서 Use-After-Free 취약점이 발견된 것은 이번이 처음이 아니다. 2021년 구글은 실제 공격에 악용된 웹 브라우저의 이러한 7가지 버그를 해결했다. 올해에는 애니메이션 구성 요소에서 적극적으로 악용된 use-after-free 취약점을 수정했다.
★정보보안 대표 미디어 데일리시큐!★