울지않는벌새 : Security, Movie & Society

업데이트 : Google Chrome 37.0.2062.94

벌새::Security

구글(Google) 업체에서 제공하는 구글 크롬(Google Chrome) 웹 브라우저의 새로운 기능 및 성능 향상과 보안 취약점 문제를 해결한 Google Chrome 37.0.2062.94 정식 버전이 업데이트 되었습니다.

  • DirectWrite support on Windows for improved font rendering
  • A number of new apps/extension APIs
  • Lots of under the hood changes for stability and performance

이번 Google Chrome 37 버전에서는 Windows 운영 체제 환경에서 폰트(Font) 랜더링 향상을 위한 마이크로소프트(Microsoft)사의 DirectWrite API 지원이 추가되어 이전 버전과 비교하여 웹 브라우저에서 표시되는 글꼴이 시각적으로 변했습니다.

또한 업데이트를 통해 환경 설정 중 개인 정보 항목에서 Google Chrome 34 버전에 추가되었던 "의심스러운 다운로드 파일을 Google에 전송" 메뉴가 "발생 가능성이 있는 보안 문제의 세부정보를 자동으로 Google에 보고합니다." 메뉴로 변경이 이루어졌습니다.

 

이는 기존에 단순히 의심스러운 다운로드 파일 수집을 넘어 보안 문제를 유발할 가능성이 높은 이슈가 발생할 경우 관련 세부 정보를 더욱 많이 수집할 목적으로 판단됩니다.

 

그러므로 사용자의 판단에 따라 해당 항목의 체크를 하시기 바라며, 구글 크롬(Google Chrome) 웹 브라우저의 기본값에서는 체크되지 않은 "피싱 및 악성코드 차단 사용" 메뉴는 반드시 체크하시고 이용하시길 강력하게 권장합니다.

 

이번 버전에서는 긴급 등급으로 분류된 샌드박스(Sandbox) 외부에서 원격 코드 실행이 가능한 보안 취약점(CVE-2014-3176, CVE-2014-3177)을 포함한 50건의 보안 문제가 해결되었습니다.

 

Critical 등급

  1. CVE-2014-3176, CVE-2014-3177 : A special reward to lokihardt@asrt for a combination of bugs in V8, IPC, sync, and extensions that can lead to remote code execution outside of the sandbox.

■ High 등급

  1. CVE-2014-3168 : Use-after-free in SVG.
  2. CVE-2014-3169 : Use-after-free in DOM.
  3. CVE-2014-3170 : Extension permission dialog spoofing.
  4. CVE-2014-3171 : Use-after-free in bindings.

Medium 등급

  1. CVE-2014-3172 : Issue related to extension debugging.
  2. CVE-2014-3173 : Uninitialized memory read in WebGL.
  3. CVE-2014-3174 : Uninitialized memory read in Web Audio.

■ 기타 보안 점검을 통한 보안 취약점 해결

  1. CVE-2014-3175 : Various fixes from internal audits, fuzzing and other initiatives (Chrome 37).

그러므로 구글 크롬(Google Chrome) 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → Chrome 정보) 기능을 이용하여 최신 버전으로 업데이트하시고 웹 브라우저를 이용하시기 바랍니다.