구글, 사용자에게 크롬 긴급 업데이트 즉시 설치 경고

지난 주, 구글은 32억 명의 크롬 사용자 모두를 위해 긴급 보안 업데이트를 발표했습니다. 이는 현재 악용되고 있는 고위험 제로데이 취약점을 해결하기 위한 것입니다.

구글은 윈도우, 맥, 리눅스 시스템을 위한 새로운 크롬 버전 112.0.5615.121을 긴급 업데이트로 배포했습니다. 이는 웹 브라우저의 보안 문제가 심각하다는 것을 의미합니다.

버전 112.0.5615.121로의 긴급 크롬 업데이트는 단일 보안 결함만을 수정하는 독특한 업데이트입니다. 따라서 사용자들은 가능한 한 빨리 크롬 브라우저를 업데이트하고 공격 시도를 차단할 것을 권장합니다.

제로데이 취약점은 2023년 4월 11일 구글의 위협 분석 그룹(TAG) 소속 클레망 레신에 의해 구글에 제출되었습니다.

2023년 4월 14일에 발표된 데스크탑용 크롬 안정 채널 업데이트 공지에서 구글은 “CVE-2023-2033에 대한 악용이 실제로 존재한다는 것을 알고 있다”고 확인했습니다.

CVE-2023-2033란 무엇인가?

현재 구글은 보안 업데이트인 CVE-2023-2033에 대한 정확한 세부 정보를 공개하지 않았습니다. 단지 “V8의 타입 혼동(Type Confusion)”이라고만 언급했습니다. 이는 크롬에서 사용되는 자바스크립트 엔진을 의미합니다.

타입 혼동 오류는 프로그램이 자원, 객체 또는 변수를 할당하기 위해 한 종류의 메서드를 사용하고, 그 자원에 접근하기 위해 다른 비호환 타입 메서드를 사용할 때 발생하여 메모리 접근이 범위를 벗어나는 경우입니다.

이 취약점은 원격 공격자가 조작된 HTML 페이지를 통해 힙 손상을 악용할 수 있게 할 수 있다고 CVE 페이지는 말합니다.

검색 대기업은 “버그 세부 정보 및 링크에 대한 접근은 대다수의 사용자가 수정된 업데이트를 받을 때까지 제한될 수 있다”고 밝혔습니다. 즉, 예방 차원에서 구글은 긴급 업데이트가 32억 크롬 사용자 대부분을 보호할 수 있을 때까지 취약점의 기술적 세부 정보를 공개하지 않을 것입니다.

또한 “버그가 다른 프로젝트가 의존하고 있지만 아직 수정되지 않은 제3자 라이브러리에 존재하는 경우에도 제한을 유지할 것”이라고 덧붙였습니다.

웹 브라우저는 자동으로 새로운 업데이트를 확인하지만, 크롬의 오른쪽 상단 모서리에 있는 세 개의 점 메뉴로 가서 “도움말”을 클릭한 다음 “크롬 정보”를 클릭하여 새로운 업데이트를 확인할 수도 있습니다.

구글 크롬에 대한 보안 패치는 앞으로 며칠 또는 몇 주 내에 모든 크롬 사용자에게 배포될 것으로 예상됩니다.

구글은 취약점에 대해 회사를 알린 보안 연구자들에게 감사를 표했습니다. “안정 채널에 보안 버그가 도달하지 않도록 개발 주기 동안 저희와 함께 작업한 모든 보안 연구자들에게도 감사드립니다.”라고 회사는 말했습니다.