크롬 브라우저 사용자들에게 안 좋은 소식이다. 구글이 올해 다섯 번째 제로데이 취약점을 패치했다. 이 제로데이 취약점은 악용 코드가 이미 유출되어 공격에 악용될 수 있다는 심각한 문제다.
무료 메모리 해제 버그 악용한 공격 코드 유출
이번 제로데이 취약점(CVE-2024-4671)은 C 프로그래밍 언어에서 발생하는 "사용 후 해제" 버그를 악용하는 것이다. 어플리케이션 또는 프로그램 개발 시 메모리 공간을 할당하고 사용 후에는 해제해야 한다. 하지만 이 과정에서 실수로 해제된 메모리에 대한 포인터(메모리 주소를 저장하는 변수)를 유지하면 공격자가 악성 코드를 심어 공격에 악용할 수 있다.
구글, 긴급 패치 및 업데이트 권고
5월 9일 익명의 정보 제공자로부터 취약점을 알려받은 구글은 즉각적인 패치 작업에 착수했다. 124.0.6367.201/.202 버전 업데이트는 이미 맥, 윈도우 사용자에게 배포됐으며, 리눅스 버전(124.0.6367.201)도 곧 출시될 예정이다.
구글은 "해당 취약점을 악용하는 공격 코드가 이미 존재한다"고 밝혔지만, 공격 대상 플랫폼, 공격자 신원, 공격 목적 등에 대한 자세한 정보는 공개하지 않았다.
올해 다섯 번째 제로데이 취약점… 업데이트 필수
이번 사건은 올해 다섯 번째 크롬 제로데이 취약점이다. 이 중 세 개는 Pwn-to-Own 해킹 경연대회 참가 연구원들이 발견한 것들이고, 나머지 두 개는 악용 코드가 이미 유출된 심각한 취약점이었다.
크롬은 일반적으로 새로운 버전이 출시되면 자동으로 업데이트된다. 하지만 사용자는 직접 업데이트를 확인하는 것이 좋다. 크롬 설정 > 크롬 정보 메뉴를 통해 현재 실행 중인 버전을 확인하고 필요한 경우 다시 시작 버튼을 클릭하여 업데이트를 완료할 수 있다.