오늘:
1,497
어제:
2,149
전체:
3,226,671

하모니카 묻고답하기

조회 수 1153 추천 수 0 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]



99CAD4415AD7256B29820B


구글(Google)에서 개발하는 크롬(Chrome)의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 66.0.3359.117 버전이 윈도, 맥OS, 64비트 리눅스에서 업데이트를 통해 각각 배포되었습니다.


아울러 안드로이드에서는 66.0.3359.106 버전이 구글 플레이(Google Play) 스토어를 통해 배포되었습니다.

--

이번 크롬 66 업데이트에서는 62개의 보안 취약점에 대한 보안 패치가 포함되어 있습니다. 그 중에서 다음의 보안 취약점은 외부의 연구자가 신고하였고, 신고에 대한 포상금으로 500달러~7,500달러를 받게 됩니다.


■ Critical


 * CVE-2018-6085: Use after free in Disk Cache

 * CVE-2018-6086: Use after free in Disk Cache


■ High


 * CVE-2018-6087: Use after free in WebAssembly
 * CVE-2018-6088: Use after free in PDFium
 * CVE-2018-6089: Same origin policy bypass in Service Worker
 * CVE-2018-6090: Heap buffer overflow in Skia
 * CVE-2018-6091: Incorrect handling of plug-ins by Service Worker

 * CVE-2018-6092: Integer overflow in WebAssembly

■ Medium


 * CVE-2018-6093: Same origin bypass in Service Worker
 * CVE-2018-6094: Exploit hardening regression in Oilpan
 * CVE-2018-6095: Lack of meaningful user interaction requirement before file upload
 * CVE-2018-6096: Fullscreen UI spoof
 * CVE-2018-6097: Fullscreen UI spoof
 * CVE-2018-6098: URL spoof in Omnibox
 * CVE-2018-6099: CORS bypass in ServiceWorker
 * CVE-2018-6100: URL spoof in Omnibox
 * CVE-2018-6101: Insufficient protection of remote debugging prototol in DevTools
 * CVE-2018-6102: URL spoof in Omnibox
 * CVE-2018-6103: UI spoof in Permissions
 * CVE-2018-6104: URL spoof in Omnibox
 * CVE-2018-6105: URL spoof in Omnibox
 * CVE-2018-6106: Incorrect handling of promises in V8
 * CVE-2018-6107: URL spoof in Omnibox

 * CVE-2018-6108: URL spoof in Omnibox


■ Low


 * CVE-2018-6109: Incorrect handling of files by FileAPI
 * CVE-2018-6110: Incorrect handling of plaintext files via file://
 * CVE-2018-6111: Heap-use-after-free in DevTools

 * CVE-2018-6112: Incorrect URL handling in DevTools

 * CVE-2018-6113: URL spoof in Navigation

 * CVE-2018-6114: CSP bypass

 * CVE-2018-6115: SmartScreen bypass in downloads

 * CVE-2018-6116: Incorrect low memory handling in WebAssembly

 * CVE-2018-6117: Confusing autofill settings

 * CVE-2018-6084: Incorrect use of Distributed Objects in Google Software Updater on MacOS

자세한 업데이트 내역은 아래 링크의 Releases 정보를 확인하기 바랍니다.

--

[영향을 받는 크롬 및 업데이트 버전]

<윈도, 맥OS, 64비트 리눅스>

 크롬 65.0.3325.181 및 이하 버전 → 크롬 66.0.3359.117 버전으로 업데이트


※ https://chromereleases.googleblog.com/2018/04/stable-channel-update-for-desktop.html

<안드로이드>

 크롬 65.0.3325.109 및 이하 버전 → 크롬 66.0.3359.106 버전으로 업데이트


--


'사이트 격리'가 시범적으로 포함됨


 - 크롬 63 버전에서 소개되었으나 기본적으로는 활성화되지 않은 상태였던 사이트 격리(Site Isolation)가 크롬 66 버전부터 일부에 대하여 시범적으로 포함되어 활성화되었고, 추후 점차 확대될 예정입니다. 사이트 격리는 크롬의 보안을 개선하고 스펙터 취약점에 따른 위험을 경감하기 위한 조치입니다.


 ※ 스펙터(Spectre) : 인텔(Intel) CPU의 멜트다운(Meltdown) 취약점과 함께 발견된 Intel, ARM, AMD CPU의 보안 취약점으로, 악성 스크립트가 삽입된 홈페이지에 접속하는 것만으로도 취약점을 악용할 수 있는 웹 기반 공격이 가능하다고 발표됨


 - 사이트 격리로 인해 문제가 발생하는지에 대해서는 chrome://flags#site-isolation-trial-opt-out 에서 진단할 수 있습니다. 사이트 격리가 보다 광범위하게 사용되기 전에 문제 해결을 위한 도움이 될 수 있도록 문제를 보고해주시기 바랍니다.


--


시만텍(Symantec)의 SSL/TLS 인증서를 신뢰하지 않음


 - 아울러 크롬 66 버전부터는 시만텍(Symantec)의 기존 PKI에서 2016년 6월 1일 이전에 발급한 웹사이트의 SSL/TLS 인증서를 신뢰하지 않으며, 이전 발표에서 설명한 단계별로 신뢰하지 않는 것을 계속하고 있습니다.

(이전 발표 : https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html )


 - 구글에서는 올해 10월에 나올 크롬 70 버전의 업데이트와 함께 시만텍의 모든 인증서를 신뢰하지 않고 크롬에서 완전히 제거할 예정입니다.


--


백신 등이 코드 인젝션하는 것을 차단하기 시작함


 - 크롬 66 버전에 크롬 내에서 제3자 소프트웨어가 코드 인젝션을 하는 경우에 사용자에게 경고하는 기능이 추가되었습니다. 이 기능은 일반적으로 백신 엔진과 기타 보안 제품에서 웹 보호/감시를 위해 사용되고 있습니다.


 - 구글에서는 크롬 68 버전부터 제3자 소프트웨어가 크롬 내에서 코드 인젝션을 하는 행위를 차단하되, 사용자가 판단하여 허용할 수 있도록 할 예정입니다. 그리고 2019년 1월에 나오는 크롬 72 버전부터 제3자 소프트웨어가 크롬에서 코드 인젝션을 하는 행위를 완전히 차단할 예정입니다.


 - 따라서 크롬 내에서 코드 인젝션을 사용하는 보안 제품들이 바빠질 것으로 보입니다. 예를 들어, 카스퍼스키, 비트디펜더, 어베스트 등 거의 대부분의 유명한 해외 백신들이 이에 해당합니다.


--

그러므로 크롬 사용자는 주소창에 chrome://settings/help 라고 입력하여 최신버전으로 업데이트하기 바랍니다.

(또는, 'Chrome 맞춤설정 및 제어 → 도움말(E) → Chrome 정보(G)')


64비트 리눅스에서는 패키지 업데이트를 통해 최신버전으로 업데이트하기 바랍니다.

데비안 / 우분투 기준 : $ sudo apt-get update && sudo apt-get dist-upgrade



출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]
  • ?
    Moordev 2018.04.19 02:35
    생각보다 보안구멍의 현상금이 많이 비싸네요?
    그만큼 보안은 확실히 메우겠다는 의미겠지요?
  • profile
    행복한펭귄 2018.04.19 09:08

    그럴 일은 없겠지만, 요즈음 기업들의 행보를 보면 일부러 보안 시장을 키우기 위해서 이런 저런 보안 전쟁을 벌이고 있는 모습이 보여서 한 편으로는 좋은 측면도 있지만 한 편으로는 이를 시장으로 키워서 새로운 먹거리를 창출하려는 좋은(!!) 의도가 보이기도 합니다. 과연 그것이 좋은 의도가 될지는 지켜봐야 하겠습니다. 워낙 복잡한 문제들이 다 연결되는 부분이라서.... 요즈음은 기술이 다양한 분야와 직접적으로 관련이 커서 한 마디로 정의 내릴 수 없는 참으로 복잡한 시대를 살아가고 있습니다. 특별히 보안 시장이 더욱 그런 것 같습니다.

  • ?
    la_Nube 2018.04.19 13:22

    취약점의 등급이 높으면 높을수록 현상금(?)이 많습니다.

    7500달러가 확정된 금액 중 가장 높은 금액인데, 이번에 크리티컬 취약점 2건은 아직 현상금이 확정되지 않았어요.

    7500달러가 넘는 현상금이 나오지 않을까 생각됩니다.


    대신, 취약점 등급이 Low인 경우에는 현상금이 N/A 즉, 없는 경우도 있습니다. ㅎㅎ

  • profile
    행복한펭귄 2018.04.19 14:11

    보안 문제 해결이 그만큼 중요하다는 얘기를 대변해 주고 있네요.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 2 0 Kevin 2019.11.18 29852
1315 18.04 바이오닉에서 원인불명의 오류가 발생하고 있습니다. 4 0 Moordev 2018.05.01 1202
1314 직관적 프로그램 제작은 감바스를 이용하세요. 4 0 행복한펭귄 2018.05.01 1174
1313 파이썬 & 파이게임 & 파이 아케이드 라이브러리로 게임 만들고 즐기기 0 행복한펭귄 2018.05.01 1405
1312 [활용] 아두이노를 이용한 CNC 제어 2 file 0 행복한펭귄 2018.04.29 1228
1311 [참고] 넘버원 리눅스 한글 입력기 총정리 내용 6 0 행복한펭귄 2018.04.29 1481
1310 Ubuntu 18.04 소개 영상 1 0 Kevin 2018.04.28 1172
1309 주소창에 열쇠모양까지 판박이! 네이버 피싱 사이트 기승 2 0 la_Nube 2018.04.26 1140
1308 Purism의 Librem 5 리눅스 전화는 Ubuntu 덕분에 Ubuntu Touch를 지원할 것입니다. 2 file 0 행복한펭귄 2018.04.26 1214
1307 KDE Plasma 5.13 데스크탑 환경, Wayland 지원 향상 2 file 0 행복한펭귄 2018.04.26 1290
1306 Cinnamon 3.8 데스크탑 환경이 Python 3 지원으로 개선되었습니다. 2 file 0 행복한펭귄 2018.04.26 1142
1305 우분투(Ubuntu) LTS 리눅스 커널 업데이트 - 2018.04.23. 1 0 la_Nube 2018.04.25 1120
1304 우분투 18.04가. 4월 26일 나온다고 합니다. 6 0 세벌 2018.04.25 1210
1303 openSUSE Tumbleweed는 Linux 커널 4.16, KDE Plasma 5.12.4에 의해 구동됩니다. 8 file 0 행복한펭귄 2018.04.24 1231
1302 Chome OS의 새로운 터미널 응용 프로그램 Linux 응용 프로그램 지원 예정 11 0 행복한펭귄 2018.04.24 1318
1301 요런 OS도 있네요?! 1 0 식혜고양이 2018.04.23 1358
1300 허태준 - 가장 의미 있고 즐거운 개발 4 0 Kevin 2018.04.22 1331
1299 게시판 댓글 시스템에 관해 건의 드립니다. 7 0 krhamoni 2018.04.20 1172
1298 Ubuntu 18.04 LTS 기반 Ultimate Linux 운영 체제 ExTiX 발표 4 file 0 행복한펭귄 2018.04.20 1260
1297 Collabora Online 3.2, 클라우드의 LibreOffice에 더 강력한 기능 제공 9 0 행복한펭귄 2018.04.20 1199
1296 AI 기능을 갖춘 Ubuntu 기반 소셜 로봇 인 Meet Bo 만나기 4 file 0 행복한펭귄 2018.04.20 1156
Board Pagination Prev 1 ... 57 58 59 60 61 62 63 64 65 66 ... 127 Next
/ 127
CLOSE