CVE-2016-5223, CVE-2016-5224, CVE-2016-5225
CVE-2016-5226, CVE-2016-9650

[보안뉴스 문가용 기자] 현지 시각으로 1월 18일, 우리나라 시간으로는 대략 18일에서 19일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2016-5223
맥, 윈도우, 리눅스용 Google Chrome 55.0.2883.75 이전 버전과 안드로이드용 Google Chrome 55.0.2883.84 이전 버전의 PDFium의 정수 오버플로우 취약점으로 원격의 공격자가 조작된 PDF 파일을 통해 DoS 공격을 하거나 힙 커럽션 익스플로잇을 할 수 있게 해준다.

2. CVE-2016-5224
맥, 윈도우, 리눅스용 Google Chrome 55.0.2883.75 이전 버전과 안드로이드용 Google Chrome 55.0.2883.84 이전 버전의 Blink의 SVG 필터의 취약점으로 원격의 공격자가 Same Origin Policy를 무시할 수 있게 해준다.

3. CVE-2016-5225
맥, 윈도우, 리눅스용 Google Chrome 55.0.2883.75 이전 버전과 안드로이드용 Google Chrome 55.0.2883.84 이전 버전의 Blink의 취약점으로 원격의 공격자가 조작된 HTML 페이지를 통해 Content Security Policy를 우회할 수 있도록 해준다.

4. CVE-2016-5226
맥, 윈도우, 리눅스용 Google Chrome 55.0.2883.75 이전 버전과 안드로이드용 Google Chrome 55.0.2883.84 이전 버전의 Blink의 취약점으로 소셜 엔지니어링에 당한 사용자가 자바스크립트:URL을 URL 바로 드래그 앤 드랍 할 수 있도록 해준다.

5. CVE-2016-9650
맥, 윈도우, 리눅스용 Google Chrome 55.0.2883.75 이전 버전과 안드로이드용 Google Chrome 55.0.2883.84 이전 버전의 Blink의 취약점으로 iframes를 잘못 다룬다. 이 때문에 원격의 공격자가 조작된 HTML 페이지를 통해 no-referer 정책을 우회할 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>