[Security News] 미국 CISA, 시스템 장악 가능케 하는 크롬 취약점 4개에 대한 경고문 발표

미국의 사이버 보안 전담 기관인 CISA가 이번 주 금요일 구글 크롬 브라우저를 최신화 하라는 경고문을 발표했습니다. 지난 버전에서 일곱 개의 취약점이 발견됐고, 최신 버전을 통해 모두 패치가 되었기 때문이라고 합니다.

이번 권고문을 통해 언급된 건 네 개의 취약점입니다. 이 중 세 개는 외부 전문가들이 먼저 발견해 구글에 제보했으며 고위험군으로 분류됐습니다. 하지만 아직까지 이 취약점들에 대한 세부 내용은 공개되지 않았습니다. 아직 충분한 크롬 사용자가 업데이트를 진행하지 않았기 때문입니다. 102.0.5005.115가 최신 크롬 버전입니다.

문제가 되고 있는 취약점 중 하나는 WebGPU API에서 발견된 UaF 버그로, CVE-2022-2007이라는 관리 번호가 부여됐습니다. 원격에서 익스플로잇이 가능하며 무결정, 비밀성, 가용성 모두에 영향을 줄 수 있다고 합니다. 익스플로잇을 위해 먼저 인증을 거치지 않아도 된다고 하며, 사용자의 상호 작용을 유발해야 한다고 합니다. 구글은 이 취약점을 발견한 외부 전문가에게 지난 5월 1만 달러의 상금을 수여했습니다.

그 다음 취약점은 WebGL API에서 발견된 아웃 오브 바운드 메모리 접근 취약점입니다. 2D와 3D 그래픽을 렌더링 하는 기능에서 발견된 것이라고 하며, CVE-2022-2008이라는 관리 번호가 부여됐습니다. 베트남의 인터넷 보안 전문 회사인 VinCSS의 연구원 두 명이 지난 4월 발견해 제보했습니다. 원격에서 익스플로잇이 가능하긴 하지만 피해자의 특정 행동을 유발해야 합니다. 그럼에도 익스플로잇 난이도는 낮은 편이며 인증을 통과할 필요가 없습니다. 발견자에게 수여할 상금 규모는 아직 결정되지 않았다고 합니다.

세 번째 취약점은 고위험군으로 분석됐으며, CVE-2022-2010이라는 번호가 부여됐습니다. 일종의 아웃 오브 바운드 리드 취약점이며, 웹 페이지 콘텐츠를 구성할 때나 렌더링하는 기능과 관련이 있다고 합니다. 구글의 프로젝트 제로 팀(Project Zero) 팀 소속 전문가가 발견했으며, 5월에 발견해 제보했습니다. 위의 2개와 마찬가지로 정보의 비밀성, 무결성, 가용성 모두에 영향을 미친다고 합니다.

네 번째 취약점 역시 고위험군에 포함됐으며, 일종의 UaF 취약점으로 분류됐습니다. 외부 보안 전문가가 먼저 발견해 5월에 구글에 알렸습니다. 이 취약점에는 CVE-2022-2011이라는 관리 번호가 부여됐으며, 구글에 의하면 크롬 그래픽스 레이어(Graphics Layer) 엔진 내 함수 중 하나인 앵글(ANGLE)과 관련이 있다고 합니다. 위의 세 취약점과 거의 같은 결과를 야기한다고 합니다.

이렇게 네 가지 취약점을 언급한 CISA는 각 기업들에 “구글의 패치 개발 노트 및 보안 권고문을 상세히 검토하고 필요한 조치를 취해 위험을 완화하라”고 촉구했습니다. CISA가 설치를 추천한 크롬 버전은 102.0.5005.115이며, 이것이 현재까지 나온 크롬 중 최신 버전이라고 합니다. 또한 CISA는 위의 취약점들을 익스플로잇 할 경우 공격자가 시스템을 장악할 수 있다고 밝혔습니다.

구글이 최신 버전을 통해 다룬 취약점의 개수는 총 7개인데, 이는 기존 크롬 취약점 패치를 생각했을 때 대단히 작은 숫자다. 지난 5월의 경우 구글 크롬 취약점 32개가 패치됐고, 그 중 하나는 초고위험도를 가진 것으로 분석됐었습니다. 고위험도 취약점도 7개가 포함되어 있었습니다.

한편 크롬은 최근 공격자들이 가장 관심을 가지고 연구하고 분석하고 찔러보는 소프트웨어 중 하나입니다. 어도비 플래시가 차지하고 있던 자리를 크롬이 넘보고 있다는 소리도 보안 업계에서 나올 정도입니다. 제로데이도 상당히 많이 발견되는 추세입니다. 이 때문에 보안 전문가들 중 크롬이 아니라 다른 브라우저를 사용하라고 권고하는 이들도 하나 둘 생겨나고 있습니다.

출처 : 보안뉴스 https://www.boannews.com/media/view.asp?idx=107492&page=1&kind=1&search=title&find=