구글, 크롬 78 통해 실험적 기능 도입하고 취약점 37개 해결

DoH라는 DNS 트래픽 보호 기능 실험적으로 도입된 것이 가장 큰 변화
취약점 다수가 외부 전문가들에게 발견돼...버그바운티 상금 각자에게 수여돼

[보안뉴스 문가용 기자] 구글이 이번 주 크롬 78을 공개하며 37개의 취약점을 해결했다. 그러나 이번 버전을 통해 변경된 것 중 가장 중요한 건 DoH라는 기능이 추가된 것이라고 전문가들은 꼽고 있다.

[이미지 = iclickart]

DoH는 DNS-over-HTTPS라는 것으로, DNS와 관련된 트래픽을 암호화하여 처리하는 기능을 말한다. 이번 버전에서는 이 DoH가 실험적으로 적용되었다. DoH와 브라우저의 궁합을 살펴보기 위함이다. 리눅스와 iOS를 제외하고는 모든 플랫폼에 동일하게 실험이 진행될 것이라고 구글은 발표했다.

또한 이번 버전에서부터 사용자의 비밀번호가 데이터 침해 사고의 DB에서 발견될 경우 사용자에게 경고 메시지를 전달할 예정이다. 이 기능과 관련된 옵션은 Check password safety라는 비밀번호 관리 항목에서 조정할 수 있다. 이 기능 역시 실험 단계를 먼저 거칠 예정이다. 활성화 하려면 크롬을 통해 구글 계정에 로그인 한 상태여야 한다.

이번에 해결된 취약점들 중 21개는 외부 전문가들이 구글 측에 보고한 것이라고 한다. 이 중 3개는 고위험군, 12개는 중간급, 6개는 저위험군에 속하는 것으로 분석됐다. 이 중 가장 패치를 서둘러야 하는 건 블링크(Blink)라는 요소 내에서 발견된 UaF 취약점과 버퍼 오버런 취약점이다. 둘 다 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에(Man Yue)가 발견했다.

이 두 개의 취약점은 각각 CVE-2019-13699와 CVE-2019-13700이라는 번호가 붙었다. 전자에 대해서는 2만 달러가, 후자에 대해서는 1만 5천 달러의 상금이 수여됐다. 다음 고위험군 취약점은 CVE-2019-13701로, 데이비드 얼섹(David Erceg)이라는 전문가가 발견한 URL 스푸핑 관련 버그다. 구글은 1천 달러의 상금을 수여했다.

그 외에도 중요한 취약점은 다음과 같다.
1) CVE-2019-13702 : 인스톨러 요소에서 발견된 권한 상승
2) CVE-2019-13703 : URL 바 스푸핑
3) CVE-2019-13704 : CSP 우회
4) CVE-2019-13705 : 확장 프로그램 허용 우회
5) CVE-2019-13706 : PDFium 내에서 발견된 아웃오브바운즈 리드

이번에 패치된 중간급 위험도 취약점은 다음과 같다.
1) CVE-2019-13707 : 파일 스토리지 노출
2) CVE-2019-13708 : HTTP 인증 스푸핑
3) CVE-2019-13709 : 다운로드 보호 우회
4) CVE-2019-13710 : 다운로드 보호 우회
5) CVE-2019-13711 : 교차 컨텍스트 정보 노출
6) CVE-2019-15903 : expat에서의 버퍼 오버플로우
7) CVE-2019-13713 : 교차 출처 데이터 노출

저위험군에 속한 취약점들은 다음과 같다.
1) CVE-2019-13714 : CSS 주입
2) CVE-2019-13715 : 주소바 스푸핑
3) CVE-2019-13716 : 서비스 작업자 상태 오류
4) CVE-2019-13717 : 모호한 통보
5) CVE-2019-13719 : 모호한 통보
6) CVE-2019-13718 : IDN 스푸핑

새로운 크롬의 정확한 버전 숫자는 78.0.3904.70이며 윈도우용, 맥용, 리눅스용이 현재 배포되고 있는 중이다.

3줄 요약
1. 새로 나온 크롬 78. 취약점 37개 해결함.
2. DNS 정보를 암호화하는 DoH 기능 실험 도입.
3. 비밀번호가 유출된 것으로 보이면 사용자에게 경고하는 기능도 실험 도입.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)