구글, 일주일 만에 세 번째 크롬 제로데이 취약점 수정

구글은 월요일에 새로운 제로데이를 수정하기 위해 크롬 브라우저의 긴급 보안 업데이트를 발표했습니다.

이번은 일주일 내에 패치된 세 번째 크롬 제로데이 결함이며, 올해 크롬 사용자를 대상으로 한 일곱 번째 제로데이 익스플로잇입니다.

이 취약점은 ‘CVE-2024-4947’이라는 CVE 식별자가 부여되었으며, V8 자바스크립트와 구글 크롬의 웹어셈블리 엔진에서 타입 혼동(Type Confusion)에 영향을 미쳤습니다. 이는 웹 앱과 웹사이트를 실행하는 중요한 구성 요소입니다.

이 높은 심각도의 제로데이 취약점은 특히 위험할 수 있습니다.

원격 공격자가 조작된 HTML 페이지를 통해 샌드박스 내에서 임의의 코드를 실행할 수 있게 하여, 민감한 데이터를 손상시키고 목표 장치를 제어할 수 있습니다.

이 결함은 카스퍼스키 연구원인 바실리 베르드니코프와 보리스 라린에 의해 발견되었으며, 2024년 5월 13일 구글에 보고되었습니다.

“구글은 CVE-2024-4947에 대한 익스플로잇이 존재한다는 것을 알고 있습니다.”라고 검색 대기업은 수요일에 발표한 보안 권고에서 밝혔습니다.

회사는 크롬 125.0.6422.60 (리눅스) 및 125.0.6422.60/.61(윈도우, 맥)의 출시로 제로데이 결함을 신속하게 해결했습니다. 이 업데이트는 브라우저에 여러 가지 수정 및 개선 사항을 가져옵니다.

새로운 버전은 향후 며칠 및 몇 주 내에 안정적인 채널 업데이트의 일환으로 모든 사용자에게 배포될 것으로 예상됩니다.

구글은 CVE-2024-4947 결함이 실제로 악용되었다고 확인했지만, 다른 사이버 범죄자에 의한 추가 악용을 피하기 위해 이러한 공격에 대한 추가 정보를 제공하지 않았습니다.

“버그 세부정보 및 링크에 대한 접근은 대부분의 사용자가 수정된 버전으로 업데이트될 때까지 제한될 수 있습니다. 또한, 다른 프로젝트가 의존하고 있지만 아직 수정되지 않은 제3자 라이브러리에 버그가 존재하는 경우에도 제한을 유지할 것입니다.”라고 구글은 말했습니다.

크롬은 보안 패치가 제공될 때 자동으로 업데이트되지만, 사용자는 잠재적인 사이버 공격으로부터 자신을 보호하기 위해 리눅스용 크롬 버전 125.0.6422.60 및 윈도우 및 macOS용 버전 125.0.6422.60/.61로 수동으로 업그레이드할 것을 권장합니다.