0xNews - 패치되지 않은 크롬, 오페라, 브레이브 브라우저에서 익스플로잇 공개
0xNews - 패치되지 않은 크롬, 오페라, 브레이브 브라우저에서 익스플로잇 공개
인도 보안 연구원 발견
https://twitter.com/r4j0x00/status/1381643526010597380
구글 크롬, MS 엣지, 애플 오페라, 브레이브와 같은 크로니움 Chromium 기반 브라우저에 영향을 미치는 취약점과 이에 대한 PoC 코드 공개
공개된 익스플로잇은 웹 브라우저를 구동하는 V8 JavaScript 렌더링 엔진의 원격 코드 실행 취약점과 관계됨
PWN2OWN 2021 해킹대회에서 발표된 것과 동일한 취약점으로 판단
이번 취약점 발표를 통해 연구원은 USD 100,000 획득
트위터에 공유한 스크린샷에 따르면 PoC HTML 파일과 관련된 JavaScritp 파일을 크로니움 기반 브라우저에 로드하여 보안 취약점 악용하여 윈도우 계산기 앱을 실행
그러나 익스플로잇이 크롬의 샌드박스 보호를 벗어날 수 있는 또 다른 취약점과 연결되어야 한다는 것이 핵심 사항
관련된 취약점에 대한 핵심 정보는 공유 후 구글 크로니움팀이 오픈 소스 구성 요소에 푸시한 패치를 리버스 엔지니어링하여 PoC 구성할 수 있는 것으로 확인
구글은 V8 최신 버전에서 문제를 해결했지만 아직 안정적인 채널로 이동하지 않아 브라우저가 공격에 취약함
구글은 크롬 Chrome v.90 출시할 것으로 예상되지만 V8 취약점에 대한 패치가 포함될지는 확실하지 않음
이번 구글 크롬 PoC 코드의 Github 공개
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.