본문 바로가기

벌새::Security

업데이트 : Chrome 58.0.3029.81

구글(Google) 업체에서 제공하는 Chrome 웹 브라우저의 기능 개선 및 29건의 다중 보안 취약점 문제를 해결한 Chrome 58.0.3029.81 정식 버전이 업데이트 되었습니다.

 

최근 Chrome 웹 브라우저에서 알파벳(Alphabet)과 매우 유사하게 보이는 키릴 문자(Cyrillic)로 구성된 주소를 이용하여 피싱(Phishing) 사이트로 악용될 수 있는 보안 문제가 제기되었습니다.

 

 

Chrome 57 버전을 통해 해당 피싱(Phishing) 이슈와 관련하여 살펴보면 주소창에 입력된 URL 주소는 apple.com로 보이지만 연결된 웹 사이트는 전혀 다른 것을 알 수 있습니다.

 

  • 알파벳(Alphabet)으로 작성 시 : apple.com
  • 키릴 문자(Cyrillic)로 작성 시 : аррӏе.com (= xn--80ak6aa92e.com)

 

이런 유사 문자로 구성된 웹 사이트에 대해 Chrome 웹 브라우저 주소창에서는 실제로는 다른 문자임에도 불구하고 동일한 문자처럼 표기되는 문제가 발생하기에 피싱(Phishing) 사이트로 악용 가능성이 매우 높습니다.

 

이에 따라 Chrome 58 버전부터는 알파벳(Alphabet)이 아닌 경우에는 퓨니코드(Punycode)로 변환하여 표시되도록 수정하여 유사 문자에 대한 혼란이 없도록 수정되었습니다.

 

High 등급

 

  1. CVE-2017-5057 : Type confusion in PDFium.
  2. CVE-2017-5058 : Heap use after free in Print Preview.
  3. CVE-2017-5059 : Type confusion in Blink.

 

Medium 등급

 

  1. CVE-2017-5060 : URL spoofing in Omnibox.
  2. CVE-2017-5061 : URL spoofing in Omnibox.
  3. CVE-2017-5062 : Use after free in Chrome Apps.
  4. CVE-2017-5063 : Heap overflow in Skia.
  5. CVE-2017-5064 : Use after free in Blink.
  6. CVE-2017-5065 : Incorrect UI in Blink.
  7. CVE-2017-5066 : Incorrect signature handing in Networking.
  8. CVE-2017-5067 : URL spoofing in Omnibox.

 

Low 등급

 

  1. CVE-2017-5069 : Cross-origin bypass in Blink.

 

그 외에도 퍼징(Fuzzing), 내부 감사 등 다양하고 지속적인 방법으로 광범위한 보안 수정 작업이 이루어졌습니다.

 

그러므로 Chrome 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → 도움말 → Chrome 정보) 기능을 통해 최신 버전으로 업데이트하시기 바랍니다.

  • 비밀댓글입니다

  • 갸우뚱 2017.04.20 19:58 댓글주소 수정/삭제 댓글쓰기

    잘 이해가 안되는게 홈페이지 주소는 다른문자로 알파벳과 비슷하게 보일수 있도록 만들어졌다고 해도
    보안인증서는 어떻게 된거죠? 피싱사이트가 https로 시작하는... 애플 인증서가 털렸다는건가요?

    설마 해커들이 정당하게 돈을 지불하고 구입했을 경우는 없을것이고.
    다른기업들을 해킹해서 빼낸 인증서로 구현한것일까요?

    개인적으로 브라우저 업체들증에서는 가장 보안탐지체계가 잘 되어 있는대가 구글 크롬일것이라고 생각했는데요.
    그래서 파이어폭스등의 타브라우저업체에서도 보안탐지기술을 같이 쓰고 있을 정도니까요. 꼭 그런건 아닌가봅니다.ㅠ