Google은 Google Chrome 웹 브라우저의 WebGL(웹 그래픽 라이브러리) 구성 요소에서 use-after-free 취약점을 수정했습니다. 이 취약점을 성공적으로 악용하면 공격자는 브라우저 프로세스의 컨텍스트에서 임의 코드를 실행할 수 있습니다.
WebGL은 플러그인을 사용하지 않고 대화형 2D 및 3D 그래픽을 렌더링하기 위해 호환 브라우저에서 사용하는 JavaScript API입니다.
Google Chrome 85.0.4149.0에서는 이 코드 실행 취약점이 수정되었습니다.
고위험 코드 실행 취약점
Cisco Talos의 수석 연구 엔지니어인 Marcin Towalski가 발견한 코드 실행 취약점의 번호는 CVE-2020-6492이고 CVSS v3 점수는 8.3입니다.
이 취약점은 WebGL 구성 요소가 메모리의 개체를 적절하게 처리하지 못할 때 충돌을 유발합니다.
Cisco Talos 보안 권고에 따르면 Chrome 브라우저와 Windows의 다른 프로젝트에서 사용되는 OpenGL과 Direct3D 간의 호환성 레이어인 ANGLE에 취약점이 존재합니다.
공격자는 올바른 메모리 레이아웃을 조작하여 이 Use-After-Free 취약점을 악용할 수 있으며 궁극적으로 브라우저 환경에서 임의의 코드를 실행하여 완전한 제어를 달성할 수 있습니다.
CVE-2020-6492는 Google Chrome 81.0.4044.138(Stable), 84.0.4136.5(Dev) 및 84.0.4143.7(Canary)에 영향을 미칩니다.
Google Chrome보안 업데이트
이전에 Google Chrome의 안정 버전(Chrome 84 및 Chrome 83)에서는 매우 중요하고 위험도가 높은 보안 취약점을 포함하여 각각 38개의 취약점을 수정했습니다.
Chrome 84는 또한 혼합 콘텐츠 다운로드 및 브라우저 알림 사기에 대한 보호를 최적화하는 동시에 안전하지 않은 TLS 프로토콜(예: TLS 1.0 및 1.1)을 제거합니다.
Chrome 83은 새롭게 디자인된 개인정보 보호 및 보안 설정 영역, 새로운 보안 진단 기능, 새롭게 강화된 세이프 브라우징 기능, 향상된 쿠키 제어, DoH 설정 최적화 등 다양한 보안 및 개인정보 보호 기능을 사용자에게 제공합니다.
가라앉지 않는 전염병으로 인해 Google은 Chrome 82 버전을 출시하지 않았지만 이 버전을 건너뛰고 모든 수정 사항을 다음 릴리스에 맡기기로 결정했습니다.
위 내용은 WebGL 코드 실행 취약점을 수정하는 Google Chrome 85의 분석 예의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!