2024년 8월 22일
현재 활발히 악용되고 있는 구글 크롬 브라우저의 심각도가 높은 결함이 최근 회사가 발표한 보안 업데이트를 통해 해결됐다. 취약점 CVE-2024-7971은 V8 JavaScript 및 WebAssembly 엔진에서 유형 혼동 문제로 발견되었습니다.
NIST(National Institute of Standards and Technology)의 NVD(National Vulnerability Database) 보고 버전 128.0.6613.84 이전 V8의 유형 혼동 Google Chrome에서는 원격 공격자가 특별히 제작된 HTML 페이지를 통해 힙 손상을 악용할 수 있습니다.
2024년 8월 19일에 이 결함은 MSTIC(Microsoft 위협 인텔리전스 센터) 및 MSRC(Microsoft 보안 대응 센터)에서 발견되어 보고되었습니다. 하지만 이 취약점을 악용한 공격이나 위협 행위자의 신원에 대한 구체적인 내용은 아직 공개되지 않았습니다. Google은 대부분의 사용자가 해당 문제를 해결하여 브라우저를 업데이트하도록 하는 데 우선순위를 두고 있습니다.
Google은 간단한 성명을 통해 CVE-2024-7971에 대한 악용 사실을 인정했습니다. 현재 야생에서 활동 중이다. 이는 Google이 올해 해결한 V8의 세 번째 유형 혼동 취약점으로, 이전 취약점은 CVE-2024-4947 및 CVE-2024-5274입니다.
Google은 Pwn2Own 2024에서 시연된 세 가지를 포함하여 2024년 초부터 Chrome에서 총 9개의 제로데이 취약점을 인정했습니다.
- CVE-2024-0519: V8의 범위를 벗어난 메모리 액세스
- CVE-2024-2886: WebCodecs의 Use-after-free(Pwn2Own 2024에서 시연됨)
- CVE-2024-2887: WebAssembly의 유형 혼동(Pwn2Own 2024에서 시연됨)
- CVE-2024-3159: V8의 범위를 벗어난 메모리 액세스(Pwn2Own 2024에서 시연됨)
- CVE-2024-4671: 시각적 개체의 Use-After-Free
- CVE-2024-4761: V8의 범위를 벗어난 쓰기
- CVE-2024-4947: V8의 유형 혼동
- CVE-2024-5274: V8의 유형 혼동
잠재적인 위험을 완화하려면 사용자가 Chrome 브라우저를 Windows 및 macOS용 버전 128.0.6613.84/.85, Linux용 버전 128.0.6613.84로 업데이트하는 것이 좋습니다. 이는 Microsoft Edge, Brave, Opera, Vivaldi 등 Chromium 기반 브라우저를 사용하는 사용자에게도 적용되며 업데이트가 제공되는 즉시 적용해야 합니다.