구글(Google) 업체에서 제공하는 Chrome 웹 브라우저의 기능 개선 및 29건의 다중 보안 취약점 문제를 해결한 Chrome 58.0.3029.81 정식 버전이 업데이트 되었습니다.
최근 Chrome 웹 브라우저에서 알파벳(Alphabet)과 매우 유사하게 보이는 키릴 문자(Cyrillic)로 구성된 주소를 이용하여 피싱(Phishing) 사이트로 악용될 수 있는 보안 문제가 제기되었습니다.
Chrome 57 버전을 통해 해당 피싱(Phishing) 이슈와 관련하여 살펴보면 주소창에 입력된 URL 주소는 apple.com로 보이지만 연결된 웹 사이트는 전혀 다른 것을 알 수 있습니다.
- 알파벳(Alphabet)으로 작성 시 : apple.com
- 키릴 문자(Cyrillic)로 작성 시 : аррӏе.com (= xn--80ak6aa92e.com)
이런 유사 문자로 구성된 웹 사이트에 대해 Chrome 웹 브라우저 주소창에서는 실제로는 다른 문자임에도 불구하고 동일한 문자처럼 표기되는 문제가 발생하기에 피싱(Phishing) 사이트로 악용 가능성이 매우 높습니다.
이에 따라 Chrome 58 버전부터는 알파벳(Alphabet)이 아닌 경우에는 퓨니코드(Punycode)로 변환하여 표시되도록 수정하여 유사 문자에 대한 혼란이 없도록 수정되었습니다.
■ High 등급
- CVE-2017-5057 : Type confusion in PDFium.
- CVE-2017-5058 : Heap use after free in Print Preview.
- CVE-2017-5059 : Type confusion in Blink.
■ Medium 등급
- CVE-2017-5060 : URL spoofing in Omnibox.
- CVE-2017-5061 : URL spoofing in Omnibox.
- CVE-2017-5062 : Use after free in Chrome Apps.
- CVE-2017-5063 : Heap overflow in Skia.
- CVE-2017-5064 : Use after free in Blink.
- CVE-2017-5065 : Incorrect UI in Blink.
- CVE-2017-5066 : Incorrect signature handing in Networking.
- CVE-2017-5067 : URL spoofing in Omnibox.
■ Low 등급
- CVE-2017-5069 : Cross-origin bypass in Blink.
그 외에도 퍼징(Fuzzing), 내부 감사 등 다양하고 지속적인 방법으로 광범위한 보안 수정 작업이 이루어졌습니다.
그러므로 Chrome 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → 도움말 → Chrome 정보) 기능을 통해 최신 버전으로 업데이트하시기 바랍니다.