CVE-2019-5786, 파일리더 API에서 발견된 UaF 취약점
임의의 코드를 실행시킬 수 있게 해줌...다양한 공격 가능해
[보안뉴스 문가용 기자] 구글이 지난 주 패치한 크롬 취약점이 이미 사이버 공격자들의 손에서 악용되고 있다는 소식이다. 이는 CVE-2019-5786으로, 고위험군에 속하며, 웹 앱들이 컴퓨터에 저장된 파일의 콘텐츠를 읽을 수 있도록 해주는 API인 파일리더(FileReader)에서 발견됐다. 일종의 UaF 취약점이다.
[이미지 = iclickart]
지난 2월 취약점을 처음 발견한 건 구글의 위협 분석 그룹(Threat Analysis Group)의 클레멘트 르사인(Clement Lecigne)이라는 보안 전문가다. 이를 보고 받은 구글은 3월 1일에 윈도우, 맥, 리눅스용 크롬 72.0.3626.121 버전을 발표하며 취약점을 패치했다.
그런데 이번 주 화요일 구글은 해당 취약점에 대한 익스플로잇이 이미 존재할 뿐만 아니라 해커들이 사용 중에 있다는 걸 확인했다고 발표했다. 구글 보안 팀은 트위터를 통해 크롬 사용자들에게 “최대한 빨리 크롬을 업데이트 하라”고 권고했다.
“구글은 CVE-2019-5786 취약점에 대한 익스플로잇이 이미 존재하고 있으며, 사이버 범죄자들의 실제 공격에 활용되고 있다는 걸 인지하고 있습니다.” 구글은 화요일 발표된 업데이트 권고문을 통해 이와 같이 밝혔다.
이 취약점은 특수하게 조작된 웹 페이지로 사용자를 강제 우회시킬 때 발동되며, 공격자의 임의 코드 실행을 가능하게 만들어준다고 인터넷보안센터(Center for Internet Security, CIS)는 권고문을 통해 설명했다.
“이 취약점을 성공적으로 익스플로잇 하면, 공격자가 임의의 코드를 브라우저 컨텍스트에서 실행할 수 있게 됩니다. 애플리케이션의 권한에 따라 조금씩 달라지긴 하지만, 공격자가 프로그램을 설치하거나, 데이터를 열람, 조작, 삭제할 수 있게 됩니다. 심지어 권한이 높은 사용자 계정을 새로 만드는 것도 가능하게 됩니다.”
지난 주 익스플로잇 탐지 서비스인 엣지스폿(EdgeSpot)은 “크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있는 걸 발견했다”고 발표했다. 엣지스폿은 해당 문서가 최소 12월부터 돌아다니기 시작했지만 아직 픽스가 공개되지 않은 상태라고도 덧붙였다.
게다가 크롬은 PDF 파일들이 정보를 전송할 때 사용자들에게 특별히 경고를 하거나 알리지 않아서 문제가 더 커진다. 일부 보안 전문가들은 “그렇기 때문에(크롬이 사용자에게 알리지 않는 특성 때문에) 발생하는 문제이지, 제로데이라는 이름은 적절치 않다”는 의견을 내비치기도 했다.
한편 PDF 파일을 통해 사용자 데이터를 수집할 수 있게 해주는 취약점이 각종 PDF 파일 뷰어 프로그램에서 발견되기도 했다. 이에 어도비는 리더(Reader)의 패치를 발표한 바 있다.
3줄 요약
1. 구글 크롬에서 발견된 CVE-2019-5786은 UaF 취약점. 익스플로잇이 돌아다니고 있음.
2. 사용자를 특수하게 조작된 웹사이트로 우회시켜, 임의 명령을 실행시킬 수 있게 해줌.
3. 최신 크롬 업데이트를 적용해야만 공격을 받지 않을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
임의의 코드를 실행시킬 수 있게 해줌...다양한 공격 가능해
[보안뉴스 문가용 기자] 구글이 지난 주 패치한 크롬 취약점이 이미 사이버 공격자들의 손에서 악용되고 있다는 소식이다. 이는 CVE-2019-5786으로, 고위험군에 속하며, 웹 앱들이 컴퓨터에 저장된 파일의 콘텐츠를 읽을 수 있도록 해주는 API인 파일리더(FileReader)에서 발견됐다. 일종의 UaF 취약점이다.
[이미지 = iclickart]
지난 2월 취약점을 처음 발견한 건 구글의 위협 분석 그룹(Threat Analysis Group)의 클레멘트 르사인(Clement Lecigne)이라는 보안 전문가다. 이를 보고 받은 구글은 3월 1일에 윈도우, 맥, 리눅스용 크롬 72.0.3626.121 버전을 발표하며 취약점을 패치했다.
그런데 이번 주 화요일 구글은 해당 취약점에 대한 익스플로잇이 이미 존재할 뿐만 아니라 해커들이 사용 중에 있다는 걸 확인했다고 발표했다. 구글 보안 팀은 트위터를 통해 크롬 사용자들에게 “최대한 빨리 크롬을 업데이트 하라”고 권고했다.
“구글은 CVE-2019-5786 취약점에 대한 익스플로잇이 이미 존재하고 있으며, 사이버 범죄자들의 실제 공격에 활용되고 있다는 걸 인지하고 있습니다.” 구글은 화요일 발표된 업데이트 권고문을 통해 이와 같이 밝혔다.
이 취약점은 특수하게 조작된 웹 페이지로 사용자를 강제 우회시킬 때 발동되며, 공격자의 임의 코드 실행을 가능하게 만들어준다고 인터넷보안센터(Center for Internet Security, CIS)는 권고문을 통해 설명했다.
“이 취약점을 성공적으로 익스플로잇 하면, 공격자가 임의의 코드를 브라우저 컨텍스트에서 실행할 수 있게 됩니다. 애플리케이션의 권한에 따라 조금씩 달라지긴 하지만, 공격자가 프로그램을 설치하거나, 데이터를 열람, 조작, 삭제할 수 있게 됩니다. 심지어 권한이 높은 사용자 계정을 새로 만드는 것도 가능하게 됩니다.”
지난 주 익스플로잇 탐지 서비스인 엣지스폿(EdgeSpot)은 “크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있는 걸 발견했다”고 발표했다. 엣지스폿은 해당 문서가 최소 12월부터 돌아다니기 시작했지만 아직 픽스가 공개되지 않은 상태라고도 덧붙였다.
게다가 크롬은 PDF 파일들이 정보를 전송할 때 사용자들에게 특별히 경고를 하거나 알리지 않아서 문제가 더 커진다. 일부 보안 전문가들은 “그렇기 때문에(크롬이 사용자에게 알리지 않는 특성 때문에) 발생하는 문제이지, 제로데이라는 이름은 적절치 않다”는 의견을 내비치기도 했다.
한편 PDF 파일을 통해 사용자 데이터를 수집할 수 있게 해주는 취약점이 각종 PDF 파일 뷰어 프로그램에서 발견되기도 했다. 이에 어도비는 리더(Reader)의 패치를 발표한 바 있다.
3줄 요약
1. 구글 크롬에서 발견된 CVE-2019-5786은 UaF 취약점. 익스플로잇이 돌아다니고 있음.
2. 사용자를 특수하게 조작된 웹사이트로 우회시켜, 임의 명령을 실행시킬 수 있게 해줌.
3. 최신 크롬 업데이트를 적용해야만 공격을 받지 않을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
