하모니 게시판

출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]



99CAD4415AD7256B29820B


구글(Google)에서 개발하는 크롬(Chrome)의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 66.0.3359.117 버전이 윈도, 맥OS, 64비트 리눅스에서 업데이트를 통해 각각 배포되었습니다.


아울러 안드로이드에서는 66.0.3359.106 버전이 구글 플레이(Google Play) 스토어를 통해 배포되었습니다.

--

이번 크롬 66 업데이트에서는 62개의 보안 취약점에 대한 보안 패치가 포함되어 있습니다. 그 중에서 다음의 보안 취약점은 외부의 연구자가 신고하였고, 신고에 대한 포상금으로 500달러~7,500달러를 받게 됩니다.


■ Critical


 * CVE-2018-6085: Use after free in Disk Cache

 * CVE-2018-6086: Use after free in Disk Cache


■ High


 * CVE-2018-6087: Use after free in WebAssembly
 * CVE-2018-6088: Use after free in PDFium
 * CVE-2018-6089: Same origin policy bypass in Service Worker
 * CVE-2018-6090: Heap buffer overflow in Skia
 * CVE-2018-6091: Incorrect handling of plug-ins by Service Worker

 * CVE-2018-6092: Integer overflow in WebAssembly

■ Medium


 * CVE-2018-6093: Same origin bypass in Service Worker
 * CVE-2018-6094: Exploit hardening regression in Oilpan
 * CVE-2018-6095: Lack of meaningful user interaction requirement before file upload
 * CVE-2018-6096: Fullscreen UI spoof
 * CVE-2018-6097: Fullscreen UI spoof
 * CVE-2018-6098: URL spoof in Omnibox
 * CVE-2018-6099: CORS bypass in ServiceWorker
 * CVE-2018-6100: URL spoof in Omnibox
 * CVE-2018-6101: Insufficient protection of remote debugging prototol in DevTools
 * CVE-2018-6102: URL spoof in Omnibox
 * CVE-2018-6103: UI spoof in Permissions
 * CVE-2018-6104: URL spoof in Omnibox
 * CVE-2018-6105: URL spoof in Omnibox
 * CVE-2018-6106: Incorrect handling of promises in V8
 * CVE-2018-6107: URL spoof in Omnibox

 * CVE-2018-6108: URL spoof in Omnibox


■ Low


 * CVE-2018-6109: Incorrect handling of files by FileAPI
 * CVE-2018-6110: Incorrect handling of plaintext files via file://
 * CVE-2018-6111: Heap-use-after-free in DevTools

 * CVE-2018-6112: Incorrect URL handling in DevTools

 * CVE-2018-6113: URL spoof in Navigation

 * CVE-2018-6114: CSP bypass

 * CVE-2018-6115: SmartScreen bypass in downloads

 * CVE-2018-6116: Incorrect low memory handling in WebAssembly

 * CVE-2018-6117: Confusing autofill settings

 * CVE-2018-6084: Incorrect use of Distributed Objects in Google Software Updater on MacOS

자세한 업데이트 내역은 아래 링크의 Releases 정보를 확인하기 바랍니다.

--

[영향을 받는 크롬 및 업데이트 버전]

<윈도, 맥OS, 64비트 리눅스>

 크롬 65.0.3325.181 및 이하 버전 → 크롬 66.0.3359.117 버전으로 업데이트


※ https://chromereleases.googleblog.com/2018/04/stable-channel-update-for-desktop.html

<안드로이드>

 크롬 65.0.3325.109 및 이하 버전 → 크롬 66.0.3359.106 버전으로 업데이트


--


'사이트 격리'가 시범적으로 포함됨


 - 크롬 63 버전에서 소개되었으나 기본적으로는 활성화되지 않은 상태였던 사이트 격리(Site Isolation)가 크롬 66 버전부터 일부에 대하여 시범적으로 포함되어 활성화되었고, 추후 점차 확대될 예정입니다. 사이트 격리는 크롬의 보안을 개선하고 스펙터 취약점에 따른 위험을 경감하기 위한 조치입니다.


 ※ 스펙터(Spectre) : 인텔(Intel) CPU의 멜트다운(Meltdown) 취약점과 함께 발견된 Intel, ARM, AMD CPU의 보안 취약점으로, 악성 스크립트가 삽입된 홈페이지에 접속하는 것만으로도 취약점을 악용할 수 있는 웹 기반 공격이 가능하다고 발표됨


 - 사이트 격리로 인해 문제가 발생하는지에 대해서는 chrome://flags#site-isolation-trial-opt-out 에서 진단할 수 있습니다. 사이트 격리가 보다 광범위하게 사용되기 전에 문제 해결을 위한 도움이 될 수 있도록 문제를 보고해주시기 바랍니다.


--


시만텍(Symantec)의 SSL/TLS 인증서를 신뢰하지 않음


 - 아울러 크롬 66 버전부터는 시만텍(Symantec)의 기존 PKI에서 2016년 6월 1일 이전에 발급한 웹사이트의 SSL/TLS 인증서를 신뢰하지 않으며, 이전 발표에서 설명한 단계별로 신뢰하지 않는 것을 계속하고 있습니다.

(이전 발표 : https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html )


 - 구글에서는 올해 10월에 나올 크롬 70 버전의 업데이트와 함께 시만텍의 모든 인증서를 신뢰하지 않고 크롬에서 완전히 제거할 예정입니다.


--


백신 등이 코드 인젝션하는 것을 차단하기 시작함


 - 크롬 66 버전에 크롬 내에서 제3자 소프트웨어가 코드 인젝션을 하는 경우에 사용자에게 경고하는 기능이 추가되었습니다. 이 기능은 일반적으로 백신 엔진과 기타 보안 제품에서 웹 보호/감시를 위해 사용되고 있습니다.


 - 구글에서는 크롬 68 버전부터 제3자 소프트웨어가 크롬 내에서 코드 인젝션을 하는 행위를 차단하되, 사용자가 판단하여 허용할 수 있도록 할 예정입니다. 그리고 2019년 1월에 나오는 크롬 72 버전부터 제3자 소프트웨어가 크롬에서 코드 인젝션을 하는 행위를 완전히 차단할 예정입니다.


 - 따라서 크롬 내에서 코드 인젝션을 사용하는 보안 제품들이 바빠질 것으로 보입니다. 예를 들어, 카스퍼스키, 비트디펜더, 어베스트 등 거의 대부분의 유명한 해외 백신들이 이에 해당합니다.


--

그러므로 크롬 사용자는 주소창에 chrome://settings/help 라고 입력하여 최신버전으로 업데이트하기 바랍니다.

(또는, 'Chrome 맞춤설정 및 제어 → 도움말(E) → Chrome 정보(G)')


64비트 리눅스에서는 패키지 업데이트를 통해 최신버전으로 업데이트하기 바랍니다.

데비안 / 우분투 기준 : $ sudo apt-get update && sudo apt-get dist-upgrade



출처: http://la-nube.tistory.com/387 [la Nube's Lab. | 라 누베 연구소]
번호 제목 글쓴이 날짜 조회 수
공지 [공지] '하모니 소식' 게시판 변경 공지 [1] LukeHan 2018.12.17 2634
1476 리눅스민트 19.1 원격접속 질문 file 포토슬럼프 2019.02.20 247
1475 공격자들이 리눅스 시스템에서 루트 권한을 얻을 수 있는 Snapd 결점 발견 [1] la_Nube(누베) 2019.02.19 191
1474 리눅스 민트 카카오톡 한글깨짐 현상 문의 [4] file 민트유저 2019.02.15 1354
1473 [질문] 민트리눅스 19.1 버전 사용중입니다. 윈도우로 원격 접속 때문에 문의 드립니다. [2] June1046 2019.02.08 603
1472 [질문] 윈도우에서 HamoniKR-ME 64bit 1.1 로 원격접속을 하고싶습니다. [1] wonjoo 2019.02.02 369
1471 [질문] comix 설치가 안됩니다. [Mint 19.1 Tessa 64bit] [5] 관우 2019.01.31 296
1470 데비안 9.7 나왔습니다. [5] 세벌 2019.01.25 380
1469 [질문] nimf indicator 관련 질문입니다~ [2] 한국형개혁주의교회건설의꿈! 2019.01.23 281
1468 [질문] 민트19.1에서 와인을 어떤 패키지로 깔아야 할까요? [2] 가필드 2019.01.15 531
1467 해시합이 맞지 않습니다.는 어떻게 해결하나요? [2] file 관우 2019.01.07 1059
1466 sudo sensors-detect 질문드립니다. [1] 블랙커피 2018.12.27 173
1465 [질문]민트 사나몬에서 [1] 보생 2018.12.26 226
1464 [질문] 파일 관리자로 다른 하드디스크 접근시 암호 설정 [5] krhamoni 2018.12.18 372
1463 [장애 문의] 하모니카 홈페이지에 문제 발생! [2] krhamoni 2018.12.18 164
1462 [건의] 커뮤니티 게시판 개편안 [2] krhamoni 2018.12.17 129
1461 Firefox 원격코드 실행 취약점 보안 업데이트 권고 [3] la_Nube(누베) 2018.12.12 190
1460 HamoniKR-ME 설치진행 오류 문의 [4] lookhim 2018.11.29 434
1459 HamoniKR-ME 64bit 1.1 [팁]선택하여 붙여넣기 6개 [2] 보생 2018.11.28 163
1458 [질문] HamoniKR-ME 64bit 1.1에서 그놈 달력 한글 적용이 안돠는데 [6] 보생 2018.11.25 313
  • 하모니카 미디어 에디션
  • 설치가 필요없는 화상통화 하모니
loginbox
아직 회원이 아니세요? 회원가입