본문 바로가기

벌새::Security

업데이트 : Google Chrome 25.0.1364.97

구글(Google) 업체에서 제공하는 오픈 소스 기반 웹 브라우저 Google Chrome 25.0.1364.97 정식 버전이 업데이트 되었습니다.

이번 Google Chrome 25 버전에서 주목할 점은 Web Speech API를 지원하는 자바스크립트(JavaScript)를 통해 웹 상에서 마이크로 입력된 문장을 자동으로 작성할 수 있는 기능을 추가하였다고 합니다.

또 다른 기능 중의 하나는 Google Chrome 웹 브라우저의 확장 프로그램(chrome://extensions) 추가에 따른 보안 및 성능 향상을 위한 기능이 추가되었습니다.

해당 기능은 사용자 Google Chrome 확장 프로그램에 등록된 프로그램 중 사용자가 직접 설치하여 사용하지 않는 프로그램이 존재할 경우 이번 업데이트를 통해 자동으로 사용 해제가 기본적으로 이루어집니다.

 

예를 들어 Logitech SetPoint 프로그램을 설치하는 과정에서 사용자가 인지하지 못하는 과정에서 Google Chrome 확장 프로그램에 자동으로 추가되는 문제가 있었습니다.

 

다소 무감각한 사용자의 경우 해당 확장 프로그램이 추가되었는지 제대로 확인하지 않은 상태로 웹 브라우저를 사용할 수 있는데, 이번 업데이트를 통해 제3자에 의해 설치된 확장 프로그램은 "튜닝하는 시간"이라는 알림창을 통해 설치 여부를 확인할 수 있습니다.

 

그 외에 High 등급 (10건), Medium 등급 (7건), Low 등급 (5건)에 대한 보안 패치가 추가되었으며, 세부적인 내용은 다음과 같습니다.

 

(1) High 등급

  1. CVE-2013-0879 : Memory corruption with web audio node.
  2. CVE-2013-0880 : Use-after-free in database handling.
  3. CVE-2013-0882 : Bad memory access with excessive SVG parameters.
  4. CVE-2013-0885 : Too many API permissions granted to web store.
  5. CVE-2013-0890 : Memory safety issues across the IPC layer.
  6. CVE-2013-0891 : Integer overflow in blob handling.
  7. CVE-2013-0894 : Buffer overflow in vorbis decoding.
  8. CVE-2013-0895 : Incorrect path handling in file copying. (Linux, Mac 전용)
  9. CVE-2013-0896 : Memory management issues in plug-in message handling.
  10. CVE-2013-0898 : Use-after-free in URL handling.

(2) Medium 등급

  1. CVE-2013-0881 : Bad read in Matroska handling.
  2. CVE-2013-0883 : Bad read in Skia.
  3. CVE-2013-0886 : Incorrect NaCl signal handling. (Mac 전용)
  4. CVE-2013-0888 : Out-of-bounds read in Skia.
  5. CVE-2013-0892 : Lower severity issues across the IPC layer.
  6. CVE-2013-0893 : Race condition in media handling.
  7. CVE-2013-0900 : Race condition in ICU.

(3) Low 등급

  1. CVE-2013-0884 : Inappropriate load of NaCl.
  2. CVE-2013-0887 : Developer tools process has too many permissions and places too much trust in the connected server.
  3. CVE-2013-0889 : Tighten user gesture check for dangerous file downloads.
  4. CVE-2013-0897 : Off-by-one read in PDF.
  5. CVE-2013-0899 : Integer overflow in Opus handling.

그러므로 Google Chrome 웹 브라우저를 사용하시는 사용자는 반드시 자동 업데이트(Chrome 설정 및 관리 → Chrome 정보) 기능을 이용하여 최신 버전을 설치하신 후 인터넷을 이용하시기 바랍니다.

  • 크롬 최신버전을 사용중입니다.
    갑자기 유투브 등 플래시 관련 미디어가 전부 재생되지 않는 문제가 발생해서 about:plugins 에 들어가본 결과, 플래시 플레이어가 disabled 로 바뀌어 있더라구요.. 오늘 아침까지 멀쩡히 돌아가던 유투브라서 조금 당황했습니다
    혹시 이런 문제가 보고된게 있나요? 방금 짧은 영어로 찾아보니까 없는거 같아서 이렇게 실례를 무릎쓰고 질문드립니다.

    • 최신 버전에서 사용자가 Chrome 웹 스토어에서 직접 설치한 플러그인이 아닌 경우에는 업데이트 과정에서 자동으로 체크 해제를 한 것이 아닌가 생각됩니다.

      특별히 크롬 확장 프로그램으로 인한 보안 이슈는 알려진게 없는 것으로 알고 있습니다.

      다시 체크하셔서 이용해 보시기 바랍니다.