ÇÁ¸®Å¸ÀÔ¿¡¼ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ...»õ·Î¿î Å©·Ò ¹öÀüÀº 86.0.4240.111
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±ÛÀÌ ¾÷µ¥ÀÌÆ®¸¦ ÅëÇØ Å©·Ò ºê¶ó¿ìÀúÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÇØ°áÇß´Ù. ÇÁ¸®Å¸ÀÔ(FreeType) ÆùÆ® ·»´õ¸µ ¶óÀ̺귯¸®¿¡¼ ¹ß°ßµÈ °ÍÀ¸·Î ÇöÀç ÇØÄ¿µé »çÀÌ¿¡¼ È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕ µÇ´Â ÁßÀ̶ó°í ÇÑ´Ù.
[À̹ÌÁö = utoimage]
±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î(Google Project Zero) ÆÀÀÇ º¸¾È Àü¹®°¡ ¼¼¸£°ÔÀÌ ±Û¶óÁÖ³ëºê(Sergei Glazunov)°¡ ¹ß°ßÇÑ ÀÌ Ãë¾àÁ¡Àº ÀÏÁ¾ÀÇ ¸Þ¸ð¸® º¯Çü ¿À·ùÀ̸ç, °ø½ÄÀûÀ¸·Î´Â ¡®Èü ¹öÆÛ ¿À¹öÇ÷οì(heap buffer overflow)¡¯·Î ºÐ·ùµÆ´Ù. ±Û¶óÁÖ³ëºê°¡ ±¸±Û Ãø¿¡ À̸¦ ¾Ë¸° °Ç À̹ø ÁÖ ¿ù¿äÀÏÀ̾ú´Ù.
È¿äÀÏ, ±¸±ÛÀº Â÷±â Å©·ÒÀ» ¹Ì¸® ½ÇÇèÇØ º¸´Â ½ºÅ×À̺í ä³ÎÀ» ÅëÇØ ÆÐÄ¡¸¦ °ø°³Çß´Ù. ÆÐÄ¡°¡ Àû¿ëµÈ Å©·Ò ¹öÀüÀº 86.0.4240.111À̾ú´Ù. Ãë¾àÁ¡¿¡´Â CVE-2020-15999¶ó´Â ¹øÈ£°¡ ºÙ¿´´Ù. °íÀ§Ç豺À¸·Î ºÐ·ùµÆ´Ù. ±¸±Û Å©·Ò ÆÀÀÇ ÇÁ·çµåÇÇÄí¸¶ º¸¸¶³ª(Prudhivikumar Bommana)´Â ¡°ÀÌ Á¦·Îµ¥ÀÌ°¡ ÀÌ¹Ì È°¹ßÇÏ°Ô ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù´Â °ÍÀ» ¾Ë°í ÀÖ°í, ±×·¡¼ ½Ã±ÞÈ÷ ÆÐÄ¡¸¦ ÁغñÇß´Ù¡±°í ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¹àÇû´Ù. ÇÏÁö¸¸ °ø°Ý¿¡ ´ëÇÑ »ó¼¼ ³»¿ëÀº ¾ð±ÞÇÏÁö ¾Ê¾Ò´Ù.
ÇÁ·ÎÁ§Æ® Á¦·ÎÀÇ º¥ ȣũ½º(Ben Hawkes)´Â ¡°Å©·Ò ÆÀÀÌ ¹«Ã´À̳ª ºü¸£°Ô ´ëÀÀÀ» ÇÑ °ÍÀº ¸ÂÁö¸¸, ¿ÀÈ÷·Á ½Ã°£ÀÌ ³Ê¹« »¡¶ú±â ¶§¹®¿¡ ÇØ´ç Ãë¾àÁ¡ÀÇ ´Ù¸¥ ¸é¸ðµéÀ» °£°úÇßÀ» ¼öµµ ÀÖ´Ù¡±¸ç ¡°ÇÁ¸®Å¸ÀÔÀÇ »õ ÆÐÄ¡¸¸ÀÌ ¾Æ´Ï¶ó ´Ù¸¥ ¸ðµç ¼ÒÇÁÆ®¿þ¾îµéµµ ÀÌ Âü¿¡ ¾÷µ¥ÀÌÆ® ÇÏ´Â °Ô º¸´Ù ´õ ¾ÈÀüÇÒ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
Å©·Ò¿¡¼ÀÇ Á¦·Îµ¥ÀÌ ¼Ò½ÄÀÌ ¾Ë·ÁÁöÀÚ ¿©·¯ º¸¾È Àü¹®°¡µéÀÌ Æ®À§Å͸¦ ÅëÇØ ¡°Å©·Ò ºê¶ó¿ìÀú¸¦ ¾÷µ¥ÀÌÆ® Ç϶󡱴 ¸ñ¼Ò¸®¸¦ ³ôÀ̱⠽ÃÀÛÇß´Ù. ±×·¯¸é¼ ¡°ÀÌ¹Ì ÇØÄ¿µéÀÌ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´Â Ãë¾àÁ¡¡±ÀÓÀ» °Á¶Çß´Ù. ±× Áß ·±´øÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ÄÁ¼³ÅÏÆ®ÀÎ »ù ½ºÅ×ÆijÆ(Sam Stepanyan)Àº ¡°¿À´Ã Å©·Ò ¾÷µ¥ÀÌÆ®ÇÏ°í ½Ã½ºÅÛÀ» Àç°¡µ¿Çϼ¼¿ä!¡±¶ó°í ¾²±âµµ Çß´Ù.
ÇÁ¸®Å¸ÀÔÀÇ Á¦·Îµ¥ÀÌ ¿Ü¿¡µµ ±¸±ÛÀº ³× °³ÀÇ ´Ù¸¥ Ãë¾àÁ¡À» ÆÐÄ¡Çϱ⵵ Çß´Ù. ÀÌ Áß 3°³´Â °íÀ§Ç豺¿¡ ¼ÓÇÑ´Ù. ³ª¸ÓÁö Çϳª´Â Áß°£±ÞÀÎ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ÀÌ Ãë¾àÁ¡µéÀº ´ÙÀ½°ú °°´Ù.
1) CVE-2020-16000 : °íÀ§Ç豺, ºÎÀûÀýÇÑ ºí¸µÅ©(Blink) ±¸Çö
2) CVE-2020-16001 : °íÀ§Ç豺, ¹Ìµð¾î ¿ä¼Ò ³»ÀÇ UaF
3) CVE-2020-16002 : °íÀ§Ç豺, PDFium ¿ä¼Ò ³»ÀÇ UaF
4) CVE-2020-16003 : Áß°£±Þ, Àμ⠰úÁ¤¿¡¼ÀÇ UaF
±¸±ÛÀº Áö³ 12°³¿ù µ¿¾È Å©·Ò¿¡¼ ¼¼ °³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÆÐÄ¡Çß´Ù. ÀÌ´Â ´ÙÀ½°ú °°´Ù.
1) CVE-2019-13720, Ä¡¸íÀû À§Çèµµ, ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
2) CVE-2020-6418, ¸Þ¸ð¸® ÄÁÇ»Á¯ Ãë¾àÁ¡
3ÁÙ ¿ä¾à
1. ±¸±Û, Å©·Ò¿¡¼ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¼öÁ¤.
2. ÀÌ Ãë¾àÁ¡Àº ÇØÄ¿µéÀÌ ÀÌ¹Ì È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖÀ¸¹Ç·Î ½Ã±ÞÇÑ ¼öÁ¤ ÇÊ¿ä.
3. Áö³ 12°³¿ù µ¿¾È Å©·Ò¿¡¼ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ÃÑ 3°³.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>