세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
구글, 크롬 업데이트 발표하며 시만텍 인증서 66개 제거
  |  입력 : 2018-04-19 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년부터 예고된 대로, 시만텍 인증서 일부의 신뢰성 제거
스펙터 관련 보안 기능, 일부 시험 적용...62개 취약점 패치


[보안뉴스 문가용 기자] 구글이 크롬 브라우저에서 시만텍이 2016년 6월 1일 이전에 발행한 66개의 웹사이트 인증서를 신뢰하지 않도록 조치를 취했다. 동시에 62개의 취약점들에 대한 패치도 함께 발표했다.

[이미지 = iclickart]


오래된 시만텍 인증서들이 구글의 버림을 받은 건 인증서가 부적절하게 발급된 사례가 지난 몇 년 동안 몇 차례 발견되었기 때문이다. 그래서 작년 구글은 올해 가을 발표될 크롬 70 이전에 시만텍이 발행한 모든 웹사이트 인증서들을 대체할 것이라고 발표한 바 있다. 파이어폭스를 만드는 모질라도 구글에 동참했다.

이에 시만텍은 작년 인증 기관 사업을 디지서트(DigiCert)에 매각했다. 또한 전 세계 최상위 1백만 웹사이트들 모두 시만텍의 인증서들을 다른 것으로 대체하고 있는 상태다. 디지서트는 2017년 12월 1일부터 시만텍의 인증 사업을 대신하며, 시만텍의 인증서를 디지서트의 그것으로 대체해주는 작업을 진행하고 있다.

이번 구글의 발표에는 크롬의 새로운 기능인 사이트 아이솔레이션(Site Isolation)의 시험 버전도 포함됐다. 이 기능은 크롬 63 버전에 처음 공개된 것으로, 주로 스펙터(Spectre) 취약점이 야기시키는 보안 위협들을 경감하기 위해 고안된 것이다.

또한 62개의 크롬 업데이트도 함께 발표됐다. 이중에 치명적인 취약점은 두 개였는데, CVE-2018-6085와 CVE-2018-6086이다. 둘 다 네드 윌리엄슨(Ned Williamson)이라는 보안 전문가가 찾아내 보고했고, UaF 유형의 취약점이다.

이번에 발표된 취약점들의 절반 이상은 구글 내부 연구원들이 아니라 외부 전문가들이 발견한 것이라고 한다. 외부인들이 발견한 것은 고위험군에 속하는 취약점이 6개, 중간급이 16개, 낮은 위험도를 가진 취약점이 10개였다.

고위험군 취약점들은 다음과 같다.
1) WebAssembly 내의 UaF 취약점인 CVE-2018-6087
2) PDFium의 UaF 취약점인 CVE-2018-6088
3) Service Worker의 동일 출처 정책 우회 취약점인 CVE-2018-6089
4) Skia의 힙 버퍼 오버플로우인 CVE-2018-6090
5) Service Worker의 플러그인 내 오류인 CVE-2018-6091
6) WebAssembly의 정수 오버플로우 취약점인 CVE-2018-6092

중간급 위험도를 가진 취약점들은 Service Worker, Oilpan, 파일 업로드, Omnibox, DevTools, Permissions, V8에서 발견되었다고 구글은 발표했다. 낮은 위험도 취약점들은 FileAPI, file;//, DevTools, WebAssembly, Navigation에서 발견됐다.

윈도우, 맥, 리눅스용 최신판 크롬 버전은 66.0.3359,117이며, 수일 안에 배포가 시작될 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술