하모니카 묻고답하기

조회 수 554 추천 수 0 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]



99CAD4415AD7256B29820B


구글(Google)에서 개발하는 크롬(Chrome)의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 66.0.3359.117 버전이 윈도, 맥OS, 64비트 리눅스에서 업데이트를 통해 각각 배포되었습니다.


아울러 안드로이드에서는 66.0.3359.106 버전이 구글 플레이(Google Play) 스토어를 통해 배포되었습니다.

--

이번 크롬 66 업데이트에서는 62개의 보안 취약점에 대한 보안 패치가 포함되어 있습니다. 그 중에서 다음의 보안 취약점은 외부의 연구자가 신고하였고, 신고에 대한 포상금으로 500달러~7,500달러를 받게 됩니다.


■ Critical


 * CVE-2018-6085: Use after free in Disk Cache

 * CVE-2018-6086: Use after free in Disk Cache


■ High


 * CVE-2018-6087: Use after free in WebAssembly
 * CVE-2018-6088: Use after free in PDFium
 * CVE-2018-6089: Same origin policy bypass in Service Worker
 * CVE-2018-6090: Heap buffer overflow in Skia
 * CVE-2018-6091: Incorrect handling of plug-ins by Service Worker

 * CVE-2018-6092: Integer overflow in WebAssembly

■ Medium


 * CVE-2018-6093: Same origin bypass in Service Worker
 * CVE-2018-6094: Exploit hardening regression in Oilpan
 * CVE-2018-6095: Lack of meaningful user interaction requirement before file upload
 * CVE-2018-6096: Fullscreen UI spoof
 * CVE-2018-6097: Fullscreen UI spoof
 * CVE-2018-6098: URL spoof in Omnibox
 * CVE-2018-6099: CORS bypass in ServiceWorker
 * CVE-2018-6100: URL spoof in Omnibox
 * CVE-2018-6101: Insufficient protection of remote debugging prototol in DevTools
 * CVE-2018-6102: URL spoof in Omnibox
 * CVE-2018-6103: UI spoof in Permissions
 * CVE-2018-6104: URL spoof in Omnibox
 * CVE-2018-6105: URL spoof in Omnibox
 * CVE-2018-6106: Incorrect handling of promises in V8
 * CVE-2018-6107: URL spoof in Omnibox

 * CVE-2018-6108: URL spoof in Omnibox


■ Low


 * CVE-2018-6109: Incorrect handling of files by FileAPI
 * CVE-2018-6110: Incorrect handling of plaintext files via file://
 * CVE-2018-6111: Heap-use-after-free in DevTools

 * CVE-2018-6112: Incorrect URL handling in DevTools

 * CVE-2018-6113: URL spoof in Navigation

 * CVE-2018-6114: CSP bypass

 * CVE-2018-6115: SmartScreen bypass in downloads

 * CVE-2018-6116: Incorrect low memory handling in WebAssembly

 * CVE-2018-6117: Confusing autofill settings

 * CVE-2018-6084: Incorrect use of Distributed Objects in Google Software Updater on MacOS

자세한 업데이트 내역은 아래 링크의 Releases 정보를 확인하기 바랍니다.

--

[영향을 받는 크롬 및 업데이트 버전]

<윈도, 맥OS, 64비트 리눅스>

 크롬 65.0.3325.181 및 이하 버전 → 크롬 66.0.3359.117 버전으로 업데이트


※ https://chromereleases.googleblog.com/2018/04/stable-channel-update-for-desktop.html

<안드로이드>

 크롬 65.0.3325.109 및 이하 버전 → 크롬 66.0.3359.106 버전으로 업데이트


--


'사이트 격리'가 시범적으로 포함됨


 - 크롬 63 버전에서 소개되었으나 기본적으로는 활성화되지 않은 상태였던 사이트 격리(Site Isolation)가 크롬 66 버전부터 일부에 대하여 시범적으로 포함되어 활성화되었고, 추후 점차 확대될 예정입니다. 사이트 격리는 크롬의 보안을 개선하고 스펙터 취약점에 따른 위험을 경감하기 위한 조치입니다.


 ※ 스펙터(Spectre) : 인텔(Intel) CPU의 멜트다운(Meltdown) 취약점과 함께 발견된 Intel, ARM, AMD CPU의 보안 취약점으로, 악성 스크립트가 삽입된 홈페이지에 접속하는 것만으로도 취약점을 악용할 수 있는 웹 기반 공격이 가능하다고 발표됨


 - 사이트 격리로 인해 문제가 발생하는지에 대해서는 chrome://flags#site-isolation-trial-opt-out 에서 진단할 수 있습니다. 사이트 격리가 보다 광범위하게 사용되기 전에 문제 해결을 위한 도움이 될 수 있도록 문제를 보고해주시기 바랍니다.


--


시만텍(Symantec)의 SSL/TLS 인증서를 신뢰하지 않음


 - 아울러 크롬 66 버전부터는 시만텍(Symantec)의 기존 PKI에서 2016년 6월 1일 이전에 발급한 웹사이트의 SSL/TLS 인증서를 신뢰하지 않으며, 이전 발표에서 설명한 단계별로 신뢰하지 않는 것을 계속하고 있습니다.

(이전 발표 : https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html )


 - 구글에서는 올해 10월에 나올 크롬 70 버전의 업데이트와 함께 시만텍의 모든 인증서를 신뢰하지 않고 크롬에서 완전히 제거할 예정입니다.


--


백신 등이 코드 인젝션하는 것을 차단하기 시작함


 - 크롬 66 버전에 크롬 내에서 제3자 소프트웨어가 코드 인젝션을 하는 경우에 사용자에게 경고하는 기능이 추가되었습니다. 이 기능은 일반적으로 백신 엔진과 기타 보안 제품에서 웹 보호/감시를 위해 사용되고 있습니다.


 - 구글에서는 크롬 68 버전부터 제3자 소프트웨어가 크롬 내에서 코드 인젝션을 하는 행위를 차단하되, 사용자가 판단하여 허용할 수 있도록 할 예정입니다. 그리고 2019년 1월에 나오는 크롬 72 버전부터 제3자 소프트웨어가 크롬에서 코드 인젝션을 하는 행위를 완전히 차단할 예정입니다.


 - 따라서 크롬 내에서 코드 인젝션을 사용하는 보안 제품들이 바빠질 것으로 보입니다. 예를 들어, 카스퍼스키, 비트디펜더, 어베스트 등 거의 대부분의 유명한 해외 백신들이 이에 해당합니다.


--

그러므로 크롬 사용자는 주소창에 chrome://settings/help 라고 입력하여 최신버전으로 업데이트하기 바랍니다.

(또는, 'Chrome 맞춤설정 및 제어 → 도움말(E) → Chrome 정보(G)')


64비트 리눅스에서는 패키지 업데이트를 통해 최신버전으로 업데이트하기 바랍니다.

데비안 / 우분투 기준 : $ sudo apt-get update && sudo apt-get dist-upgrade



출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]
  • ?
    Moordev 2018.04.19 02:35
    생각보다 보안구멍의 현상금이 많이 비싸네요?
    그만큼 보안은 확실히 메우겠다는 의미겠지요?
  • profile
    행복한펭귄 2018.04.19 09:08

    그럴 일은 없겠지만, 요즈음 기업들의 행보를 보면 일부러 보안 시장을 키우기 위해서 이런 저런 보안 전쟁을 벌이고 있는 모습이 보여서 한 편으로는 좋은 측면도 있지만 한 편으로는 이를 시장으로 키워서 새로운 먹거리를 창출하려는 좋은(!!) 의도가 보이기도 합니다. 과연 그것이 좋은 의도가 될지는 지켜봐야 하겠습니다. 워낙 복잡한 문제들이 다 연결되는 부분이라서.... 요즈음은 기술이 다양한 분야와 직접적으로 관련이 커서 한 마디로 정의 내릴 수 없는 참으로 복잡한 시대를 살아가고 있습니다. 특별히 보안 시장이 더욱 그런 것 같습니다.

  • ?
    la_Nube 2018.04.19 13:22

    취약점의 등급이 높으면 높을수록 현상금(?)이 많습니다.

    7500달러가 확정된 금액 중 가장 높은 금액인데, 이번에 크리티컬 취약점 2건은 아직 현상금이 확정되지 않았어요.

    7500달러가 넘는 현상금이 나오지 않을까 생각됩니다.


    대신, 취약점 등급이 Low인 경우에는 현상금이 N/A 즉, 없는 경우도 있습니다. ㅎㅎ

  • profile
    행복한펭귄 2018.04.19 14:11

    보안 문제 해결이 그만큼 중요하다는 얘기를 대변해 주고 있네요.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 1 0 Kevin 2019.11.18 12692
2282 vi 명령어 오류.. 2 0 luis 2023.05.31 411
2281 배우 김수로, 영국 축구팀 '첼시 로버스 FC' 구단주 사임 0 휘랑스 2023.05.30 484
2280 하모니카 5.0 사용중인데, 카카오톡이 안됩니다. 1 0 하모태백 2023.05.30 556
2279 사지방에서의 하모니카 사용에 있어서 SSH 접속에 관해 질문이 있습니다. 1 0 jay001 2023.05.29 633
2278 버추얼 박스에 대해 질문드립니다 2 0 블랙커피 2023.05.13 555
2277 전자칠판 설치 오류 2 file 0 포토슬럼프 2023.05.12 544
2276 리눅스 블랙스크린 관련 문제 2 0 라루미 2023.05.10 465
2275 우분투를 설치하다가 에러가 발생했습니다. 1 file 0 라루미 2023.05.10 398
2274 우분투 게임팩과 그냥 우분투의 차이점은 무엇인가요? 1 0 라루미 2023.05.10 607
2273 리눅스 설치하려고 하니 부팅디스크에 들어가니 블랙스크린만 뜹니다. 3 0 라루미 2023.05.10 591
2272 하모니카 4버전을 사용중......여러번 업데이트 후 usb인식을 못하는 오류 2 0 목수 2023.05.08 621
2271 오버워치2 그래픽카드 호환이 뜹니다 10 file 0 스크린세이버 2023.05.03 644
2270 우분투 설치 오류 8 0 luis 2023.04.27 640
2269 혹시 김프에 대해 질문해도 될까요? 4 file 0 님놔 2023.04.27 648
2268 [질문] 하모니카 리눅스 화면을 흑백으로 보고 싶습니다 1 0 하모태백 2023.04.21 594
2267 밀리의 서재 pc뷰어가 다운로드되지 않습니다. 1 file 0 qlsl0619 2023.04.15 1261
2266 <질문> nvidia 드라이버 업데이트 이후 블렌더가 실행되지 않습니다. 2 0 만화가엄두 2023.04.10 718
2265 안냥하세요. 혹시 손님으로 들어갔는데 3 0 예안고 2023.04.03 621
2264 ps4 컨트롤러 유선 연결이 안되네요... 4 0 맛버섯 2023.03.30 528
2263 하모니카 6.0 설치후 재부팅하니까 실행이 안됩니다. 3 file 0 chyoon 2023.03.24 651
Board Pagination Prev 1 ... 4 5 6 7 8 9 10 11 12 13 ... 123 Next
/ 123
CLOSE