세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
구글, 크롬 업데이트 발표하며 시만텍 인증서 66개 제거
  |  입력 : 2018-04-19 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년부터 예고된 대로, 시만텍 인증서 일부의 신뢰성 제거
스펙터 관련 보안 기능, 일부 시험 적용...62개 취약점 패치


[보안뉴스 문가용 기자] 구글이 크롬 브라우저에서 시만텍이 2016년 6월 1일 이전에 발행한 66개의 웹사이트 인증서를 신뢰하지 않도록 조치를 취했다. 동시에 62개의 취약점들에 대한 패치도 함께 발표했다.

[이미지 = iclickart]


오래된 시만텍 인증서들이 구글의 버림을 받은 건 인증서가 부적절하게 발급된 사례가 지난 몇 년 동안 몇 차례 발견되었기 때문이다. 그래서 작년 구글은 올해 가을 발표될 크롬 70 이전에 시만텍이 발행한 모든 웹사이트 인증서들을 대체할 것이라고 발표한 바 있다. 파이어폭스를 만드는 모질라도 구글에 동참했다.

이에 시만텍은 작년 인증 기관 사업을 디지서트(DigiCert)에 매각했다. 또한 전 세계 최상위 1백만 웹사이트들 모두 시만텍의 인증서들을 다른 것으로 대체하고 있는 상태다. 디지서트는 2017년 12월 1일부터 시만텍의 인증 사업을 대신하며, 시만텍의 인증서를 디지서트의 그것으로 대체해주는 작업을 진행하고 있다.

이번 구글의 발표에는 크롬의 새로운 기능인 사이트 아이솔레이션(Site Isolation)의 시험 버전도 포함됐다. 이 기능은 크롬 63 버전에 처음 공개된 것으로, 주로 스펙터(Spectre) 취약점이 야기시키는 보안 위협들을 경감하기 위해 고안된 것이다.

또한 62개의 크롬 업데이트도 함께 발표됐다. 이중에 치명적인 취약점은 두 개였는데, CVE-2018-6085와 CVE-2018-6086이다. 둘 다 네드 윌리엄슨(Ned Williamson)이라는 보안 전문가가 찾아내 보고했고, UaF 유형의 취약점이다.

이번에 발표된 취약점들의 절반 이상은 구글 내부 연구원들이 아니라 외부 전문가들이 발견한 것이라고 한다. 외부인들이 발견한 것은 고위험군에 속하는 취약점이 6개, 중간급이 16개, 낮은 위험도를 가진 취약점이 10개였다.

고위험군 취약점들은 다음과 같다.
1) WebAssembly 내의 UaF 취약점인 CVE-2018-6087
2) PDFium의 UaF 취약점인 CVE-2018-6088
3) Service Worker의 동일 출처 정책 우회 취약점인 CVE-2018-6089
4) Skia의 힙 버퍼 오버플로우인 CVE-2018-6090
5) Service Worker의 플러그인 내 오류인 CVE-2018-6091
6) WebAssembly의 정수 오버플로우 취약점인 CVE-2018-6092

중간급 위험도를 가진 취약점들은 Service Worker, Oilpan, 파일 업로드, Omnibox, DevTools, Permissions, V8에서 발견되었다고 구글은 발표했다. 낮은 위험도 취약점들은 FileAPI, file;//, DevTools, WebAssembly, Navigation에서 발견됐다.

윈도우, 맥, 리눅스용 최신판 크롬 버전은 66.0.3359,117이며, 수일 안에 배포가 시작될 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#구글   #크롬   #업데이트   #시만텍   #인증서   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)