구글 크롬 zero-day exploit

https://www.lansweeper.com/vulnerability/new-chrome-0-day-actively-exploited/

구글에서 "zero-day exploit" 즉 "제로데이 취약점"에 대한 보안 수정 프로그램을 발표했다.

Chrome version 99.0.4844.84

2021년에도 총 16번의 Chrome zero day가 있었다.

"zero-day exploit"란"한 번도 본 적 없는, 보안 취약점"을 의미하며, 관계자들도 파악하지 못한 상태로 이름처럼 이를 고칠 시간이 0일(제로데이)라는 뜻이다. 이번 업데이트에서 감춘 취약점은 시스템을 완벽히 통제할 수 있는 심각한 보안사항 문제이다. 더욱 문제인 점은 이미 몇 번 해당 취약점을 활용한 공격이 있었다는 것이다.

 

그렇다면 '크롬' 브라우저만 문제인 것일까?

결론부터 말하자면 아니다. 대다수의 브라우저도 문제가 된다. 왜냐하면 취약점은 '크롬'에 있는 것이 아닌 Chromium의 V8 Js Engine에 있기 때문이다.

 

우리가 사용하는 대다수의 브라우저들(엣지, 웨일, 브레이브, 비발디, 오페라 등..)은 모두 동일한 코어를 공유한다.  모두  Chromium을 기반으로 만들어졌으며, 이는 오픈소스 브라우저이다. 즉,  Chromium에 기반, 추가 기능 등을 덧붙여 각각의 브라우저를 만든 것이다. 브라우저의 실제 결과물은 제각각 다르지만 코어가 공유되고 있기 때문에 만약에 코어에서 취약점이 발견되면 다른 브라우저들도 문제가 생기는 것이다.

 

이번 취약점의 원인이었던 Chromium의 V8 Js Engine은 Js를 실행하기 위해 Chromium이 사용하는 엔진이다. V8은 C++로 작성된 오픈소스 JavaScript 엔진으로 Chrominum과 NodeJs에서 사용되고 있다. 주제와는 벗어나지만 Chrome V8 엔진에서 자바스크립트 성능 향상 방법 글도 있어 링크를 남긴다.

우리의 CPU는 Js를 이해하지 못하기 때문에 Js를 사용한 웹 사이트를 방문하거나 NodeJs를 사용하면, V8이 코드를 읽고 바이트 코드로 컴파일 한 다음 TurboFan이 기계 코드로 컴파일하게 된다. 이 플로우 사이에 취약점이 존재하는 것인데 그래서 여러 추측으로는 아마 이 취약성을 트리거하기 위해 공격자가 해야 할 일은 악의적인 Js코드를 실행하는 것일 수도 있다고 한다.

 

https://youtu.be/j-q2T9eUPHQ?t=288

구체적인 취약점은 공개되지 않아 추측이지만 이번 업데이트가 다른 업데이트 없이 단지 1가지 만을 위해 급하게 진행된 것을 보면 상황의 심각성을 알 수 있다. 또한 실제 미국에서는 모든 연방 기관에 브라우저 업데이트를 직접 지시하기도 했다. 이번 취약점을 익명의 보안 전문가가 제공했다고 하는데 과연 누구인지도 궁금한 부분이다. 현재 제공자에게 버그 바운티에서 상금을 정하는 중이라고 한다.

 

재밌는 점은 Safari와 Firefox를 사용하는 경우에는 이번 이슈에 걱정할 필요가 없다. Safari와 Firefox는 V8 브라우저를 사용하지 않고 그들만의 Js 엔진을 사용해서 이번 이슈에서 안전했다. Firefox는 SpiderMonkey, Safari는 JavaScriptCore를 사용한다.

 

자료 출처

- 노마드 코더 보안사태 영상

- Google Chrome Bug Actively Exploited as Zero-Day

- V8엔진 파헤치기

- V8 엔진 성능 향상 방법