Google은 회사에서 야생에서 악용되는 것으로 확인 된 매우 안전한 제로데이 취약점으로 인해 안정적인 채널에서 Chrome을 Windows, Mac 및 Linux용 버전 96.0.4664.110으로 업데이트 했습니다. 발표에 따르면 업데이트가 모든 사람에게 도달하는 데 시간이 걸릴 수 있지만 테스트 시스템에서 업데이트를 즉시 받을 수 있었습니다.
업데이트에는 해당 공개 보상과 함께 아래에서 볼 수 있는 5가지 수정 사항이 포함되어 있습니다.
- [$ NA] [ 1263457 ] 치명적 CVE-2021-4098: Mojo에서 데이터 유효성 검사가 충분하지 않습니다. 이것은 Google Project Zero, 2021-10-26의 Sergey Glazunov에 의해 발표되었습니다.
- [$ 5000] [ 1270658 ] High CVE-2021-4099: Swiftshader에서 무료 사용 후 사용. 2021년 11월 16일 Solita의 Aki Helin이 보고했습니다.
- [$ 5000] [ 1272068 ] 높음 CVE-2021-4100: ANGLE의 개체 수명 주기 문제. Solita의 Aki Helin이 보고함 2021-11-19
- [$ TBD] [ 1262080 ] 높음 CVE-2021-4101: Swiftshader에서 힙 버퍼 오버플로가 발생합니다. 이것은 2021년 10월 21일 Abraruddin Khan과 Omayr에 의해 보고되었습니다.
- [$ 미정] [ 1278387 ] High CVE-2021-4102 : V8에서 무료 사용 후 사용. 2021-12-09에 익명이 보고함.
Google은 또한 “대부분의 사용자가 핫픽스를 업데이트할 때까지 버그 세부정보 및 링크에 대한 액세스가 제한될 수 있습니다. 다른 프로젝트가 유사하게 의존하지만 “아직 수정되지 않은” 버그가 타사 라이브러리에 존재하는 경우에도 제약 조건을 유지합니다. 이것은 아마도 CVE-2021-4102를 의미하며 검색 대기업에 따르면 이미 야생에서 적극적으로 악용되고 있습니다.
이를 처음 눈치챈 Bleeping Computer에 따르면 올해 16번째로 회사가 패치한 제로데이 취약점이기도 하다. 2021년에 수정된 나머지 15개의 제로 데이는 다음과 같습니다.
- CVE-2021-21148 – 2월 4일
- CVE-2021-21166 – 3월 2일
- CVE-2021-21193 – 3월 12일
- CVE-2021-21220 – 4월 13일
- CVE-2021-21224 – 4월 20일
- CVE-2021-30551 – 6월 9일
- CVE-2021-30554 – 6월 17일
- CVE-2021-30563 – 7월 15일
- CVE-2021-30632 및 CVE-2021-30633 – 9월 13일.
- CVE-2021-37973 – 9월 24일
- CVE-2021-37976 및 CVE-2021-37975 – 9월 30일.
- CVE-2021-38000 및 CVE-2021-38003 – 10월 28일
또한 지난 달 Chrome 96이 출시되었을 때 Chrome 97이 1월 첫째 주까지 출시되지 않는다는 사실을 알게 되었기 때문에 현재 버전의 패치가 훨씬 더 중요하다는 것을 기억할 수 있습니다.
업데이트 가능 여부는 크롬 메뉴 > 도움말 > 구글 크롬 정보에서 확인하실 수 있습니다. 또한 브라우저는 최신 업데이트를 자동으로 확인하고 가능한 경우 다시 시작 옵션을 설치 및 제공한 후 업데이트가 적용됩니다.
출처: Bleeping Computer 를 통한 Google
답글 남기기