연구자들이 Chrome 및 Firefox 브라우저에서 11개의 심각한 보안 결함을 발견하다

조지아 공대의 연구자들이 Chrome 및 Firefox 브라우저의 보안 구멍을 발견하다

조지아 공과대학교 컴퓨팅 대학의 연구자들이 가장 널리 사용되는 두 개의 인터넷 브라우저인 구글 크롬과 모질라 파이어폭스에서 11개의 이전에 발견되지 않은 결함을 찾아냈습니다.

연구자들은 새로운 사이버 보안 분석 방법을 통해 시스템 깊숙이 숨겨진 이 구멍들을 발견했습니다.

그들의 노력에 대한 보상으로, 그들은 8월 14일 종료된 제24회 USENIX 보안 심포지엄에서 Facebook과 USENIX가 공동으로 수여하는 인터넷 방어 상을 받았습니다.

조지아 공대의 박사 과정 학생인 이병영과 송청유, 그리고 김태수 교수와 이원케 교수는 연구를 계속하고 인터넷을 더 안전하게 만들기 위한 영향력을 높이기 위해 Facebook으로부터 100,000달러를 받았습니다.

그들의 연구인 “타입 캐스팅 검증: 새로운 공격 벡터 차단”은 “잘못된 캐스팅” 또는 “타입 혼동”으로 인해 발생하는 C++ 프로그램(크롬 및 파이어폭스와 같은)의 취약점을 탐구합니다. 잘못된 캐스팅은 공격자가 브라우저의 메모리를 손상시켜 적절한 지침 대신 악의적인 논리를 따르도록 합니다. 연구자들은 이를 포착하기 위해 CAVER라는 새로운 독점 탐지 도구를 개발했습니다. CAVER는 브라우저 성능에 대해 7.6%에서 64.6%의 오버헤드를 가진 런타임 탐지 도구입니다(크롬 및 파이어폭스 각각).

조지아 공대에서 확인한 11개의 취약점은 모질라와 구글 모두에 의해 확인되었으며, 두 브라우저 모두 이제 패치되었습니다.

“인터넷 커뮤니티가 더 어렵고 깊은 보안 문제를 해결하기 시작할 때가 되었다”고 컴퓨터 과학부의 교수이자 팀의 고문인 원케 리가 말했습니다. “보안 연구 커뮤니티는 수십 년 동안 메모리 안전 버그를 탐지하고 수정하는 다양한 방법을 연구해 왔으며, ‘스택 오버플로우’와 ‘힙 오버플로우’ 버그에 대한 진전을 이루었지만, 이제는 상대적으로 쉬운 문제로 변했습니다. 우리의 작업은 훨씬 더 어렵고 깊은 버그, 특히 ‘사용 후 해제’와 ‘잘못된 캐스팅’을 연구했으며, 우리의 도구는 파이어폭스 및 libstdc++와 같은 널리 사용되는 소프트웨어에서 심각한 보안 버그를 발견했습니다. 우리는 이 인정을 위해 Facebook에 감사드립니다.”

연구자들은 이를 포착하기 위해 CAVER라는 새로운 독점 탐지 도구를 개발했습니다. CAVER는 크롬과 파이어폭스 성능에 대해 7.6%에서 64.6%의 오버헤드를 가진 런타임 탐지 도구입니다.

“방어 보안 기술을 설계하는 것이 그 어느 때보다 중요해졌으며, 그래서 우리는 이 분야에서 고품질 연구를 자극하기 위해 다시 한 번 인터넷 방어 상을 제공하고 있습니다.”라고 Facebook의 보안 엔지니어링 관리자 Ioannis Papagiannis가 말했습니다. “조지아 공대 팀의 C++ 프로그램에서 잘못된 타입 캐스트를 탐지하는 새로운 기술은 우리가 장려하고 싶은 뛰어난 접근 방식입니다. 우리는 팀이 다음에 무엇을 할지 기대하며 인터넷의 보안을 개선하고 더 넓은 영향을 미치기를 바랍니다.” “조지아 공대의 수상작은 USENIX 보안 심포지엄의 상징이 된 획기적인 보안 연구를 보여줍니다.”라고 USENIX 협회의 전무 이사인 케이시 헨더슨이 말했습니다. “그들의 선구적인 작업은 USENIX 보안 상 위원회와 Facebook이 심사한 많은 뛰어난 제출물 중에서 두드러졌습니다. 우리는 인터넷 방어 상으로 가능해진 그들의 지속적인 진전을 기대합니다.”