윈도우, 맥, 리눅스 사용자 전부 77.0.3865.120 버전으로 업데이트 해야 안전
[보안뉴스 문가용 기자] 구글이 크롬 77에 대한 업데이트를 발표했다. 최근 발견된 보안 취약점 8개를 해결하기 위한 것이다. 이 중 5개는 외부 전문가들이 발견해 구글에 알린 것이다. 따라서 상금도 주어진 상황이다.
[이미지 = iclickart]
구글은 불과 2주 전에 네 개의 보안 취약점을 해결하기 위해 크롬 77.0.3865.90 버전을 발표한 바 있다. 이 중 두 개의 취약점은 기타 다른 취약점들과 결합되었을 때 샌드박스 탈출 현상을 일으키는 심각한 것으로 나타났었다.
그 전에는 52개의 취약점을 해결하기 위한 패치를 세상에 내놓기도 했었다.
이번에 발표된 취약점들 중 외부인이 먼저 발견한 것 5개는 전부 고위험군으로 분류됐다. 외부 보안 전문가들은 총 4만 5천 달러라는 상금을 구글로부터 받았다고 한다.
패치된 취약점들 중 가장 중요하다고 보이는 건 중국 치후360(Qihoo 360)의 알파팀이 발견하고 보고한 인덱스드디비(IndexedDB) 내 UaF 버그다. CVE-2019-13693이라는 번호가 붙였으며, 발견자는 2만 5백 달러라는 상금을 받게 되었다.
그 외에 WebRTC 요소에서도 UaF 취약점이 발견됐었다. CVE-2019-13694로, 구글은 이 역시 이번 패치를 통해 해결했다. 온라인 상에서 바나나나펭귄(banananapenguin)이라는 닉을 사용하는 보안 전문가가 보고했다. 아직 상금 액수는 결정되지 않은 상태라고 한다.
세 번째 취약점 역시 UaF로, 오디오 요소에서 발견된 것이라고 한다. CVE-2019-13695라는 번호가 붙었고, 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에 모(Man Yue Mo)라는 보안 전문가가 발견해 구글에 알렸다. 유에 모는 총 1만 5천 달러의 상금을 획득했다.
V8이라는 요소에서도 UaF 취약점이 발견됐다. CVE-2019-13696으로, 중국의 치후360의 보안 전문가가 발견했다. 7500 달러의 상금이 주어졌다.
다섯 번째 취약점은 ‘교차 출처 크기 유출(cross-origin size leak)’이라고 분류되는 취약점으로, CVE-2019-13697이라는 번호가 붙었고, 루안 헤레라(Luan Herrera)라는 보안 전문가가 발견했다. 구글은 2000달러를 헤레라에게 지급했다.
구글이 이 모든 취약점을 해결하고 새롭게 내놓은 크롬은 77.0.3865.120이며, 윈도우, 맥, 리눅스용으로 배포되고 있다. 즉 모든 플랫폼에서 크롬 사용자들의 패치가 요구된다는 것이다.
구글은 이번 패치를 포함해 크롬 77을 위해서만 버그바운티로 총 11만 달러를 지출한 것으로 기록됐다.
3줄 요약
1. 구글 크롬 77에서 취약점 8개 발견됨.
2. 다섯 개는 외부 전문가들의 공적. 각각 상금 받음.
3. 이래저래 크롬 77에서만 11만 달러라는 버그바운티 지급한 구글.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>