CVE-2015-6788, CVE-2015-6789, CVE-2015-6790
CVE-2015-6791, CVE-2015-8548

[보안뉴스 문가용] 현지 시각으로 12월 14일, 우리나라 시간으로는 대략 14일에서 15일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



CVE-2015-6788
구글 크롬 47.0.2526.80 이전 버전에 있는 확장 서브시스템의 extensions/renderer/object_backed_native_handler.cc의 ObjectBackedNativeHandler 클래스에 있는 취약점으로 핸들러 함수를 제대로 적용하지 못했을 때 공격자가 원격에서 DoS 공격을 할 수 있게 해주거나 여러 불특정 벡터를 통해 type confusion을 일으키게 해준다.

CVE-2015-6789
구글 크롬 47.0.2526.80 이전 버전의 Blink의 MutationObserver 내 Race condition에 있는 취약점으로 원격의 공격자가 DoS 공격을 할 수 있게 하거나 객체 삭제를 할 수 있게 해준다.

CVE-2015-6790
구글 크롬 47.0.2526.80 이전 버전에 있는 페이지 시리얼라이저의 WebKit/Source/web/WebPageSerializerImpl.cpp 내에 있는 WebPageSerializerImpl::openTagToString 함수에 있는 취약점으로 HTML 객체를 제대로 처리하지 못할 때 발생한다. 원격의 공격자가 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해준다.

CVE-2015-6791
구글 크롬 47.0.2526.80 이전 버전에 있는 불특정 다수 취약점으로 공격자들이 DoS 공격을 하거나 다른 공격을 감행할 수 있도록 해준다.

CVE-2015-8548
구글 4.7.80.23 이전의 V8 버전에 있는 불특정 다수 취약점으로 공격자들이 DoS 공격을 감행하거나 그밖에 다른 공격을 할 수 있도록 해준다. CVE-2015-8478과는 다른 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>