Google Chrome, 벌써부터 다수의 취약점

Google Chrome, 벌써부터 다수의 취약점

美google 이 이제 막 β버젼을 공개한 신 브라우져「Google Chrome」에 대한 취약점의 보고가 벌써부터 이어지고 있다. US-CERT는 9월3일, Google Chrome은 초기상태에서 유저에게 경고없고 파일을 다운로드 해버리는 취약점이 있다고 보고, 또한 모든 탭들이 충돌할 별도의 취약점도 발견되었다.

US-CERT는 다운로드 한 파일을 원클릭으로 여는 것이 가능한 Google Chrome에는 유저가 실수로 악질적인 바이러스를 열어버릴 위험성이 있다고 밝혔다. 이 취약점을 발견한 세큐리티연구자, 아비부 라프씨의 설명에 의하면 원인은 Google Chrome이 오래된 버젼의 Webkit 525.13을 사용하고 있기 때문이라고 한다. 이것은「융단폭격」의 취약점이 있던 美Apple 의 Safari3.1 이 사용하고 있던 것과 같은 Webkit엔진이라고 한다.

Safari의 취약점은 버젼 3.1.2에서 해결 되었으나, Google Chrome은 Safari3.1의 렌더링엔진을 사용했기 때문에 취약점이 남았다고 한다.「Google Chrome은 Safari나 Firefox등, 다른 브라우져의 기능을 받아들여 “짬뽕”시켜 놓았으나, 보안상의 관점에서 이것은 커다란 문제점이다」라고 라프씨는 지적. 이 취약점을 지적한 개념증명(POC) 코드도 공개했다.

US-CERT는 이 문제의 회피방법으로, Google Chrome의 환경설정의「Minor Tweaks」탭에「Ask where to save each file before downloading」(파일을 다운로드 하기전에 보존장소를 묻는다) 의 옵션항목을 유효하게 하도록 권고하고 있다. 이것으로 취약점 그 자체가 해소되는 것은 아니나, 파일을 다운로드하기 전에 경고가 표시되게 된다고 한다.

한편, 다른 세큐리티연구자, 리시 나랑그씨는 정보세큐리티 블로그인 EvilFingers.com에서, 모든 탭이 충돌해버리는 취약점에 대해 보고했다. 임의의 코드를 섞어놓은 악질적인 사이트를 열람하는 것 만으로 Chrome이 충돌, 「Whoa! Google Chrome has crashed. Restart now?」라는 메세지가 표시된다고 한다. 나랑그씨도 개념증명(POC) 코드를 공개하였다.

( 譯 : YoshiToshi )

원문링크 : Google Chromeに早くも複数の脆弱性 – 速報　ニュース：@nifty

크롬 한번 써보려고 검색하다 깜짝...ㅡ^ㅡ);;;

현재 소문이 무성한 브라우져, 구굴의 크롬입니다.

이것저것 써보는걸 좋아해서 깔아보려고 검색중 이런 뉴스가...

구글의 시장진출을 경제하는 트집으로 안 보이는 것도 아니지만...

...역시 크롬은 좀더 패치하던지 버젼이 올라가면 한번 써봐야할 듯...=ㅁ=);;;^[각주:1]이눔의 치킨!...쫄았습니다 ㅋㅋ;;;'>

1. ' [본문으로]