27개 취약점은 외부 전문가들의 업적...3만 4천 달러 넘게 지급
위험도 높은 취약점부터 낮은 것까지 전부 해결

[보안뉴스 문가용 기자] 구글이 크롬 65에 대한 45가지 보안 패치를 발표했다. 이중 27개는 외부 전문가들이 발견한 취약점들을 고친 것이라고 한다.


또한 브라우저의 자바스크립트 엔진도 업데이트 됐다. V8 6.5버전으로 2월 초에 발표된 것이며, 크롬 65 베타 버전을 통해 공개된 바 있다. 업데이트 된 V8 엔진에는 최근 발견된 스펙터 취약점을 통한 위협을 줄이기 위한 비신뢰 코드 모드(untrusted code mode)도 포함되어 있다.

외부 전문가들이 발견한 27가지 취약점들 중에는 9가지 ‘고위험군’ 취약점과, 15가지 ‘중간 위험군’ 취약점이 포함되어 있다. 낮은 위험 점수를 받은 오류는 세 가지다.

구글은 이러한 취약점들을 발견한 전문가들에게 3만 4천 달러가 넘는 보상금을 지불했다. 그러나 전문가 개개인이나 지불 내역에 대한 상세 정보는 아직 공개하지 않고 있다.

높은 위험도를 가진 것으로 나타난 취약점은 CVE-2018-6058과 CVE-2018-6059로, 2017년 8월 텐센트 잔루 랩(Tencent Zhanlu Lab)의 한 연구원이 구글에 보고했다. 플래시에 존재하는 UaF 취약점이다. 이건으로 해당 전문가는 각 5천 달러, 총 1만 달러를 받았다.

또 다른 고위험군 취약점은 블링크(Blink) 내의 UaF 취약점인 CVE-2018-6060과 V8 내에 존재하는 레이스 콘디션(race condition) 취약점인 CVE-2018-6061이다. 각각 3천 달러가 지급됐다. 스키아(Skia)에서 발견된 버퍼 오버플로우 취약점에 대해서는 1천 달러를 지급했다.

두 개의 잘못된 권한 허용 취약점도 발견됐다. 하나는 V8의 타입 컨퓨전(type confusion) 취약점이고 다른 하나는 V8의 정수 오버플로우 취약점이다. 둘 다 고위험군에 속하는 취약점이다.

중간 위험도를 가진 것으로 평가된 취약점은 CVE-2018-6066으로 4천 달러가 지급됐다. 이른바 동일 출처 우회(same origin bypass) 취약점이다. 중간 위험도 취약점 중 가장 위험한 것이라고 구글은 설명한다.

그 외 중간 위험도 취약점에는 스키아의 버퍼 오버플로우 취약점, 크롬 커스텀 탭(Chrome Custom Tab)의 객체 생애주기 취약점, 스키아의 스택 버퍼 오버플로우 취약점, CSP 우회 취약점, 스키아의 힙 버퍼 오버플로우 취약점, PDFium의 정수 오버플로우 취약점, WebGL의 힙 버퍼 오버플로우 취약점이다.

여기에 더해 구글은 블링크 내의 교차 출처 다운로드의 지나친 권한 허용 문제와 URL 조각 식별자의 올바르지 못한 처리 문제도 해결했다. SVG 필터를 활용한 타이밍 공격, OmniBox의 URL 스푸핑, WebGL의 텍스처 데이터를 통한 정보 공개 문제, IPC 호출의 정보 공개 문제도 처리했다.

낮은 위험도를 가진 취약점은 여러 요소들 내 발견된 XSS 취약점, 포트 블로킹 취약점, AppMainfests의 처리 오류 등이었다.

이로써 PC용 윈도우, 맥, 리눅스 시스템에서 사용할 수 있는 크롬 최신 버전은 65.0.3325.146이 되었다. 안드로이드 버전도 업데이트 되었고, 최신 버전은 65.0.3325.109이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>