오늘:
4,276
어제:
4,328
전체:
3,149,651

하모니카 묻고답하기

조회 수 1126 추천 수 0 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]



99CAD4415AD7256B29820B


구글(Google)에서 개발하는 크롬(Chrome)의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 66.0.3359.117 버전이 윈도, 맥OS, 64비트 리눅스에서 업데이트를 통해 각각 배포되었습니다.


아울러 안드로이드에서는 66.0.3359.106 버전이 구글 플레이(Google Play) 스토어를 통해 배포되었습니다.

--

이번 크롬 66 업데이트에서는 62개의 보안 취약점에 대한 보안 패치가 포함되어 있습니다. 그 중에서 다음의 보안 취약점은 외부의 연구자가 신고하였고, 신고에 대한 포상금으로 500달러~7,500달러를 받게 됩니다.


■ Critical


 * CVE-2018-6085: Use after free in Disk Cache

 * CVE-2018-6086: Use after free in Disk Cache


■ High


 * CVE-2018-6087: Use after free in WebAssembly
 * CVE-2018-6088: Use after free in PDFium
 * CVE-2018-6089: Same origin policy bypass in Service Worker
 * CVE-2018-6090: Heap buffer overflow in Skia
 * CVE-2018-6091: Incorrect handling of plug-ins by Service Worker

 * CVE-2018-6092: Integer overflow in WebAssembly

■ Medium


 * CVE-2018-6093: Same origin bypass in Service Worker
 * CVE-2018-6094: Exploit hardening regression in Oilpan
 * CVE-2018-6095: Lack of meaningful user interaction requirement before file upload
 * CVE-2018-6096: Fullscreen UI spoof
 * CVE-2018-6097: Fullscreen UI spoof
 * CVE-2018-6098: URL spoof in Omnibox
 * CVE-2018-6099: CORS bypass in ServiceWorker
 * CVE-2018-6100: URL spoof in Omnibox
 * CVE-2018-6101: Insufficient protection of remote debugging prototol in DevTools
 * CVE-2018-6102: URL spoof in Omnibox
 * CVE-2018-6103: UI spoof in Permissions
 * CVE-2018-6104: URL spoof in Omnibox
 * CVE-2018-6105: URL spoof in Omnibox
 * CVE-2018-6106: Incorrect handling of promises in V8
 * CVE-2018-6107: URL spoof in Omnibox

 * CVE-2018-6108: URL spoof in Omnibox


■ Low


 * CVE-2018-6109: Incorrect handling of files by FileAPI
 * CVE-2018-6110: Incorrect handling of plaintext files via file://
 * CVE-2018-6111: Heap-use-after-free in DevTools

 * CVE-2018-6112: Incorrect URL handling in DevTools

 * CVE-2018-6113: URL spoof in Navigation

 * CVE-2018-6114: CSP bypass

 * CVE-2018-6115: SmartScreen bypass in downloads

 * CVE-2018-6116: Incorrect low memory handling in WebAssembly

 * CVE-2018-6117: Confusing autofill settings

 * CVE-2018-6084: Incorrect use of Distributed Objects in Google Software Updater on MacOS

자세한 업데이트 내역은 아래 링크의 Releases 정보를 확인하기 바랍니다.

--

[영향을 받는 크롬 및 업데이트 버전]

<윈도, 맥OS, 64비트 리눅스>

 크롬 65.0.3325.181 및 이하 버전 → 크롬 66.0.3359.117 버전으로 업데이트


※ https://chromereleases.googleblog.com/2018/04/stable-channel-update-for-desktop.html

<안드로이드>

 크롬 65.0.3325.109 및 이하 버전 → 크롬 66.0.3359.106 버전으로 업데이트


--


'사이트 격리'가 시범적으로 포함됨


 - 크롬 63 버전에서 소개되었으나 기본적으로는 활성화되지 않은 상태였던 사이트 격리(Site Isolation)가 크롬 66 버전부터 일부에 대하여 시범적으로 포함되어 활성화되었고, 추후 점차 확대될 예정입니다. 사이트 격리는 크롬의 보안을 개선하고 스펙터 취약점에 따른 위험을 경감하기 위한 조치입니다.


 ※ 스펙터(Spectre) : 인텔(Intel) CPU의 멜트다운(Meltdown) 취약점과 함께 발견된 Intel, ARM, AMD CPU의 보안 취약점으로, 악성 스크립트가 삽입된 홈페이지에 접속하는 것만으로도 취약점을 악용할 수 있는 웹 기반 공격이 가능하다고 발표됨


 - 사이트 격리로 인해 문제가 발생하는지에 대해서는 chrome://flags#site-isolation-trial-opt-out 에서 진단할 수 있습니다. 사이트 격리가 보다 광범위하게 사용되기 전에 문제 해결을 위한 도움이 될 수 있도록 문제를 보고해주시기 바랍니다.


--


시만텍(Symantec)의 SSL/TLS 인증서를 신뢰하지 않음


 - 아울러 크롬 66 버전부터는 시만텍(Symantec)의 기존 PKI에서 2016년 6월 1일 이전에 발급한 웹사이트의 SSL/TLS 인증서를 신뢰하지 않으며, 이전 발표에서 설명한 단계별로 신뢰하지 않는 것을 계속하고 있습니다.

(이전 발표 : https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html )


 - 구글에서는 올해 10월에 나올 크롬 70 버전의 업데이트와 함께 시만텍의 모든 인증서를 신뢰하지 않고 크롬에서 완전히 제거할 예정입니다.


--


백신 등이 코드 인젝션하는 것을 차단하기 시작함


 - 크롬 66 버전에 크롬 내에서 제3자 소프트웨어가 코드 인젝션을 하는 경우에 사용자에게 경고하는 기능이 추가되었습니다. 이 기능은 일반적으로 백신 엔진과 기타 보안 제품에서 웹 보호/감시를 위해 사용되고 있습니다.


 - 구글에서는 크롬 68 버전부터 제3자 소프트웨어가 크롬 내에서 코드 인젝션을 하는 행위를 차단하되, 사용자가 판단하여 허용할 수 있도록 할 예정입니다. 그리고 2019년 1월에 나오는 크롬 72 버전부터 제3자 소프트웨어가 크롬에서 코드 인젝션을 하는 행위를 완전히 차단할 예정입니다.


 - 따라서 크롬 내에서 코드 인젝션을 사용하는 보안 제품들이 바빠질 것으로 보입니다. 예를 들어, 카스퍼스키, 비트디펜더, 어베스트 등 거의 대부분의 유명한 해외 백신들이 이에 해당합니다.


--

그러므로 크롬 사용자는 주소창에 chrome://settings/help 라고 입력하여 최신버전으로 업데이트하기 바랍니다.

(또는, 'Chrome 맞춤설정 및 제어 → 도움말(E) → Chrome 정보(G)')


64비트 리눅스에서는 패키지 업데이트를 통해 최신버전으로 업데이트하기 바랍니다.

데비안 / 우분투 기준 : $ sudo apt-get update && sudo apt-get dist-upgrade



출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]
  • ?
    Moordev 2018.04.19 02:35
    생각보다 보안구멍의 현상금이 많이 비싸네요?
    그만큼 보안은 확실히 메우겠다는 의미겠지요?
  • profile
    행복한펭귄 2018.04.19 09:08

    그럴 일은 없겠지만, 요즈음 기업들의 행보를 보면 일부러 보안 시장을 키우기 위해서 이런 저런 보안 전쟁을 벌이고 있는 모습이 보여서 한 편으로는 좋은 측면도 있지만 한 편으로는 이를 시장으로 키워서 새로운 먹거리를 창출하려는 좋은(!!) 의도가 보이기도 합니다. 과연 그것이 좋은 의도가 될지는 지켜봐야 하겠습니다. 워낙 복잡한 문제들이 다 연결되는 부분이라서.... 요즈음은 기술이 다양한 분야와 직접적으로 관련이 커서 한 마디로 정의 내릴 수 없는 참으로 복잡한 시대를 살아가고 있습니다. 특별히 보안 시장이 더욱 그런 것 같습니다.

  • ?
    la_Nube 2018.04.19 13:22

    취약점의 등급이 높으면 높을수록 현상금(?)이 많습니다.

    7500달러가 확정된 금액 중 가장 높은 금액인데, 이번에 크리티컬 취약점 2건은 아직 현상금이 확정되지 않았어요.

    7500달러가 넘는 현상금이 나오지 않을까 생각됩니다.


    대신, 취약점 등급이 Low인 경우에는 현상금이 N/A 즉, 없는 경우도 있습니다. ㅎㅎ

  • profile
    행복한펭귄 2018.04.19 14:11

    보안 문제 해결이 그만큼 중요하다는 얘기를 대변해 주고 있네요.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 1 0 Kevin 2019.11.18 28949
1301 요런 OS도 있네요?! 1 0 식혜고양이 2018.04.23 1320
1300 허태준 - 가장 의미 있고 즐거운 개발 4 0 Kevin 2018.04.22 1284
1299 게시판 댓글 시스템에 관해 건의 드립니다. 7 0 krhamoni 2018.04.20 1139
1298 Ubuntu 18.04 LTS 기반 Ultimate Linux 운영 체제 ExTiX 발표 4 file 0 행복한펭귄 2018.04.20 1226
1297 Collabora Online 3.2, 클라우드의 LibreOffice에 더 강력한 기능 제공 9 0 행복한펭귄 2018.04.20 1167
1296 AI 기능을 갖춘 Ubuntu 기반 소셜 로봇 인 Meet Bo 만나기 4 file 0 행복한펭귄 2018.04.20 1106
1295 MS의 구글 크롬用 '윈도 디펜더 브라우저 보호' 확장 5 0 la_Nube 2018.04.20 1144
1294 마이크로소프트(MS)의 새로운 운영체제는 리눅스에 기반함 4 0 la_Nube 2018.04.19 1119
1293 마이크로 소프트, IoT 디바이스 보안을위한 리눅스 기반 Azure Sphere Initiative 출시 3 0 Kevin 2018.04.19 1097
1292 [게임] 툼 레이더 드디어 리눅스 버전 발표 10 file 0 행복한펭귄 2018.04.19 1132
1291 그놈 메모리 누수 현상 패치 도우미 모집 9 0 행복한펭귄 2018.04.19 1150
1290 기쁜 소식인가요?! 10 0 식혜고양이 2018.04.19 1154
» 구글 크롬(Chrome) 66.0.3359.x 업데이트 4 0 la_Nube 2018.04.18 1126
1288 우분투를 윈도우10 처럼 보이게 하는 방법 4 0 행복한펭귄 2018.04.18 2207
1287 우분투 18.04의 장단점 분석 4 0 행복한펭귄 2018.04.18 1176
1286 Debian 10 "Buster" 이후 Debian 11 "Bullseye" & Debian 12 "Bookworm"이 계획되어 있습니다. 1 file 0 행복한펭귄 2018.04.18 1172
1285 우분투 16.04 이후로 우분투 18.04는 어떤 변화가 있을까요? 2 file 0 행복한펭귄 2018.04.18 1068
1284 브라우저 폰트 설정 17 0 Ohnine 2018.04.16 2760
1283 인텔 CPU의 SPI Flash 취약점 공개 (CVE-2017-5703) 6 0 la_Nube 2018.04.16 1131
1282 인터넷 접속만으로 감염! 갠드크랩 랜섬웨어 더 강해졌다 8 0 la_Nube 2018.04.15 1150
Board Pagination Prev 1 ... 56 57 58 59 60 61 62 63 64 65 ... 126 Next
/ 126
CLOSE