- Google 릴리스 Chrome 보안 권고, 여기에는 Chrome의 자바 스크립트 엔진에 대한 제로 데이 패치가 포함됩니다.
- CVE-2021-30551은 악의적 인 제 3 자에 의해 악용되는 야생에 존재하지 않는 단 하나의 버그로 높은 평가를 받았습니다.
- Google에 따르면 대부분의 사용자가 수정 사항을 업데이트 할 때까지 버그 세부 정보 및 링크에 대한 액세스가 제한 될 수 있습니다.
- 그만큼 CVE-2021-30551 버그는 V8에서 유형 혼동으로 Google에 의해 나열됩니다. 즉, 무단 코드 실행시 JavaScript 보안을 우회 할 수 있습니다.
사용자는 여전히 이전 Microsoft에 머물고 있습니다. 화요일 패치 발표, 6 개의 야생 취약점이 패치되어 그들의 의견으로는 매우 나빴습니다.
Internet Explorer의 MSHTML 웹 렌더링 코드의 흔적에 깊이 묻혀있는 것은 말할 것도 없습니다.
한 번의 업데이트로 14 개의 보안 수정
이제 Google 출시 Chrome 보안 권고에는 Chrome의 자바 스크립트 엔진에 대한 제로 데이 패치 (CVE-2021-30551)와 공식적으로 나열된 14 개의 보안 수정 사항이 포함되어 있습니다.
아직이 용어에 익숙하지 않은 사람들을 위해 제로 데이 이러한 유형의 사이버 공격은 보안 결함을 인식 한 후 하루 이내에 발생하므로 상상력이 풍부한 시간입니다.
따라서 개발자에게이 취약점과 관련된 잠재적 인 위험을 근절하거나 완화 할 충분한 시간을주지 못합니다.
Mozilla와 마찬가지로 Google은 일반적인 버그 찾기 방법을 사용하여 발견 한 다른 잠재적 버그를 함께 클러스터링합니다. 내부 감사, 퍼징 및 기타 이니셔티브의 다양한 수정.
퍼 저는 검증 실행 기간 동안 수백만, 수억 개의 테스트 입력을 생성 할 수 있습니다.
그러나 저장해야하는 유일한 정보는 프로그램이 오작동하거나 충돌을 일으키는 경우입니다.
즉, 나중에 인간 버그 사냥꾼의 출발점으로 프로세스의 후반부에 사용할 수있어 많은 시간과 인력을 절약 할 수 있습니다.
버그는 야생에서 악용되고 있습니다
Google은 제로 데이 버그를 언급하면서 CVE-2021-30551에 대한 익스플로잇이 야생에 존재한다는 사실을 알고 있습니다..
이 특정 버그는 다음과 같이 나열됩니다. V8에서 유형 혼란여기서 V8은 JavaScript 코드를 실행하는 Chrome의 일부를 나타냅니다.
유형 혼동은 V8에 하나의 데이터 항목을 제공하는 동시에 JavaScript를 처리하도록 속일 수 있음을 의미합니다. 마치 완전히 다른 것처럼 보안을 우회하거나 무단 코드를 실행할 수도 있습니다.
대부분의 사람들이 알고 있듯이 웹 페이지에 포함 된 JavaScript 코드에 의해 트리거 될 수있는 JavaScript 보안 위반은 종종 RCE 악용 또는 원격 코드 실행으로 이어집니다.
이 모든 말을 들으면서 Google은 CVE-2021-30551 버그가 하드 코어 원격 코드 실행에 사용될 수 있는지 여부를 밝히지 않습니다. 이는 일반적으로 사용자가 사이버 공격에 취약하다는 것을 의미합니다.
이것이 얼마나 심각한 지 알기 위해 실제로 웹 사이트를 클릭하지 않고 웹 사이트를 서핑한다고 상상해보십시오. 팝업으로 인해 악의적 인 제 3자가 보이지 않게 코드를 실행하고 컴퓨터에 멀웨어를 이식 할 수 있습니다.
따라서 CVE-2021-30551은 심각하지 않은 버그 (CVE-2021-30544)로만 높은 등급을받습니다.
CVE-2021-30544 버그가 RCE에 악용 될 수 있기 때문에 비판적인 언급이있을 수 있습니다.
그러나 현재로서는 Google 이외의 다른 사람과이를보고 한 연구원이 방법을 알고 있다는 제안은 없습니다.
회사는 또한 대다수의 사용자가 수정 사항을 업데이트 할 때까지 버그 세부 정보 및 링크에 대한 액세스가 제한 될 수 있다고 언급합니다.
Google의 최신 제로 데이 패치에 대해 어떻게 생각하십니까? 아래 댓글 섹션에서 의견을 공유하십시오.
