[2.15 버그리포트] CVE-2016-1623 外

CVE-2016-1623, CVE-2016-1624, CVE-2016-1625
CVE-2016-1626, CVE-2016-1627

[보안뉴스 문가용] 현지 시각으로 2월 13일, 우리나라 시간으로는 대략 13일에서 14일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-1623
구글 크롬 48.0.2564.109 이전 버전의 DOM implementation에 있는 취약점으로 frame-attach 프로세스가 frame-detach 프로세스가 실행되는 동안이나 후에 실행되는 걸 제대로 억제하지 않는다. 이 때문에 원격의 공격자들은 Same Origin Policy를 조작된 웹 사이트를 통해서 쉽게 우회할 수 있게 된다. 이때 FrameLoader.cpp, HTMLFrameOwnerElement.h, LocalFrame.cpp, and WebLocalFrameImpl.cpp 등이 연루된다.

2. CVE-2016-1624
구글 크롬 48.0.2564.109 이전 버전의 Brotli 내 dec/decode.c에 있는 ProcessCommandsInternal 함수의 정수 오버플로우 취약점으로 공격자들이 brotli 압축을 통해 DoS 공격을 할 수 있도록 해준다.

3. CVE-2016-1625
구글 크롬 48.0.2564.109 이전 버전의 Chrome Instant 기능에 있는 취약점으로 New Tab Page 내비게이션 표적이 가장 방문을 많이 한 사이트나 제안 목록에 있는 사이트를 제대로 겨냥하지 않는다. 이로써 원격의 공격자들이 접근 제한 기능을 우회할 수 있게 된다. instant_service.cc와 search_tab_helper.cc가 관련이 있다.

4. CVE-2016-1626
구글 크롬 48.0.2564.109 이전 버전에 있는 PDFium에서 사용되는 OpenJPEG의 pi.c 내 opj_pi_update_decode_poc 함수에 있는 취약점으로 특정 레이어 지표값을 잘못 계산한다. 이로써 공격자들이 조작된 PDF 문서를 통해 DoS 공격을 할 수 있도록 해준다.

5. CVE-2016-1627
구글 크롬 48.0.2564.109 이전 버전에 있는 Developer Tools 서브 시스템의 취약점으로 URL scheme을 제대로 인증하지 않거나 chrome-devtools-frontend.appspot.com URL과 관련이 있는 remoteBase 매개변수를 확인하지 않는다. 이로써 원격의 공격자들이 조작된 URL을 통해 접근 제한 기능을 우회할 수 있게 된다. browser/devtools/devtools_ui_bindings.cc나 WebKit/Source/devtools/front_end/Runtime.js와 관련이 있다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)