HTML 한 줄로 코드 실행 가능… ANGLE 취약점의 위험한 파급력

[보안뉴스 김형근 기자] 미국 사이버보안및인프라보안국(CISA)은 구글 크로미움의 ANGLE 그래픽 엔진에서 발견된 심각한 제로데이 취약점 CVE-2025-14174을 ‘알려진 취약점’(KEV) 목록에 추가했다.


[자료: CISA]

CVE-2025-14174로 분류된 이 취약점은 원격 공격자가 악의적 HTML 페이지를 통해 메모리 경계 초과 접근을 유발할 수 있게 하며, 브라우저에서 임의 코드 실행으로 이어질 수 있다.

이 취약점은 발견된 지 며칠 만에 패치됐다. 그러나 이는 크로미움 기반 브라우저에 대한 지속적 위협을 잘 보여준다는 평가다. 이 취약점은 구글 크롬뿐 아니라 마이크로소프트 에지나 오페라 등 세계 데스크톱 브라우저의 70% 이상이 사용하는 기반 기술인 크로미움 엔진 자체의 문제다. 인터넷 사용자 대부분이 잠재적 위험에 노출된다는 의미다.

CVE-2025-14174는 크로미움의 오픈GL ES 인터페이스 레이어인 ANGLE에 존재하며, 부적절한 경계 확인이 메모리 손상을 허용한다.

조작된 웹페이지는 렌더링 과정에서 이 결함을 호출해, 일부 시나리오에선 샌드박스 보호를 우회할 수 있다. 국가 취약점 데이터베이스(NVD)는 이 취약점을 높은 심각도로 평가했으며, CVSS v3.1 점수는 8.8점을 기록했다.

공격자는 이 취약점을 드라이브-바이 침해, 데이터 탈취, 랜섬웨어 배포에 연쇄적으로 사용할 수 있다. 그러나 현재까지 랜섬웨어와의 연관성은 확인되지 않았다.

구글은 10일(현지시간) 수정 사항을 배포해 크롬 버전을 131.0.6778.201로 업데이트했다. 마이크로소프트 에지도 131.0.3139.95 버전으로 업데이트했다.

CISA는 구속력 있는 운영 지침 22-01(BOD)에 따라 연방 기관에 내년 1월 2일까지 긴급히 완화 조치를 적용하거나 영향을 받는 제품의 사용을 중단하도록 의무화했다.

일반 사용자들도 업데이트 후 브라우저를 다시 시작할 필요가 있다. 비록 공격 지표(IoCs)가 공개되지 않았지만, 공격자는 이 취약점을 피싱 또는 악성 광고와 같은 기법에 연쇄적으로 결합하여 사용할 가능성이 높다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>