링크세상 링크모음
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

새로운 Chrome 0-day는 인터넷을 성촉절의 새로운 장으로 이끌고 있습니다.

게티 이미지

수요일, Google은 Chrome 브라우저의 심각한 제로데이 취약점으로 인해 인터넷이 성촉절의 새로운 장을 열었다고 보고했습니다.

9월 11일에 공개된 중요한 제로데이 Google과 마찬가지로, 새로 악용된 취약점은 Chrome에만 영향을 미치지 않습니다. 이미 Mozilla는 자사의 Firefox 브라우저가 CVE-2023-5217로 추적되는 동일한 버그에 취약하다고 밝혔습니다. 17일 전의 CVE-2023-4863과 마찬가지로 새로운 파일은 미디어 파일, 특히 VP8 형식의 파일을 처리하는 데 널리 사용되는 코드 라이브러리에 있습니다.

여기와 여기 페이지에는 libvpx라는 라이브러리에 의존하는 Ubuntu 및 Debian용 패키지 수백 개가 나열되어 있습니다. 대부분의 브라우저는 이를 사용하며 이를 지원하는 소프트웨어 또는 공급업체 목록은 Skype, Adobe, VLC 및 Android를 포함하여 인터넷 전문가와 같습니다.

libvpx에 의존하는 소프트웨어 패키지 중 얼마나 많은 소프트웨어 패키지가 CVE-2023-5217에 취약할지는 확실하지 않습니다. Google의 공개 내용에 따르면 제로데이는 비디오 인코딩에 적용됩니다. 반면 이번 ​​달 초 공격에 취약한 코드 라이브러리인 libwebp에서 악용된 제로데이는 인코딩과 디코딩에 효과가 있었다. 즉, 공개 내용에 따르면 CVE-2023-5217에서는 VP8 형식의 미디어를 생성하려면 대상 장치가 필요합니다. CVE-2023-4863은 대상 장치가 단순히 부비트랩 이미지를 표시하는 경우 악용될 수 있습니다.

Analygence의 수석 수석 분석가인 Will Dorman은 온라인 인터뷰에서 “패키지가 libvpx에 의존한다는 사실이 반드시 해당 패키지가 취약하다는 것을 의미하지는 않습니다.”라고 썼습니다. “취약점은 VP8 인코딩을 사용하므로 libvpx를 디코딩에만 사용하는 경우에는 걱정할 필요가 없습니다.” 이러한 중요한 차이점에도 불구하고 Chrome 및 Firefox 외에도 패치가 필요한 패키지가 더 많이 있을 수 있습니다. “Firefox, Chrome(및 Chromium 기반) 브라우저, 그리고 libvpx에서 JavaScript(예: 웹 브라우저)로 VP8 인코딩 기능을 노출하는 기타 브라우저가 위험에 처해 있는 것 같습니다.”라고 그는 말했습니다.

현재 최신 제로데이를 악용한 실제 공격에 대한 세부 정보는 거의 없습니다. 구글 포스트에서는 이 결함을 악용하는 코드가 “야생에 존재한다”고만 밝혔습니다. 소셜 미디어 우편 Google 위협 분석 그룹의 보안 연구원인 Maddie Stone은 제로데이가 “상업 감시 업체에서 사용 중”이라고 말했습니다. Google은 수요일에 출시된 패치보다 불과 이틀 전인 월요일에 취약점을 발견한 Google TAG의 Clement Lecigne에게 감사를 표했습니다.

제로데이는 Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Android용 Firefox Focus 118.1, Android용 Firefox 118.1에 패치가 적용되어 있습니다.

두 제로데이 사이에는 또 다른 유사점이 있습니다. 둘 다 최종 사용자가 악의적인 웹페이지를 방문하는 것 외에는 상호 작용이 거의 또는 전혀 없이 원격 코드 실행을 허용하는 버퍼 오버플로에서 비롯됩니다. 두 가지 모두 Google이 10여년 전에 게시한 미디어 라이브러리에 영향을 미칩니다. 그리고 두 라이브러리 모두 메모리 손상 취약성에 취약하기 때문에 안전하지 않은 것으로 널리 알려진 50년 된 프로그래밍 언어인 C로 작성되었습니다.

이번에는 한 가지 다릅니다. Google이 수요일에 할당한 CVE의 문구에는 취약점이 Chrome뿐만 아니라 libvpx에도 영향을 미친다는 것이 분명합니다. Google이 CVE-2023-4863을 할당했을 때 취약점이 Chrome에 영향을 미쳤다는 점만 언급하여 비평가들이 영향을 받는 다른 소프트웨어 패키지의 패치 속도가 느려진다고 말하면서 혼란을 야기했습니다.

CVE-2023-5217의 전체 범위가 명확해지려면 아마도 며칠이 더 걸릴 것입니다. libvpx 프로젝트 개발자는 패치된 라이브러리 버전이 있는지 또는 라이브러리를 사용하는 소프트웨어를 활용하는 데 특별히 필요한 것이 무엇인지 묻는 이메일에 즉시 응답하지 않았습니다. 현재로서는 특히 비디오 인코딩에 VP8이 포함된 앱, 소프트웨어 프레임워크 또는 웹사이트를 사용하는 사람들은 주의를 기울여야 합니다.