티스토리 뷰

Information Security/CVE

CVE-2024-4761, 4947 Google Chrome의 Out-Of-Bound, RCE 취약점

실더 2024. 5. 20. 09:00

오늘의 신규 취약점은

Google Chrome에서 발생한 

2개 취약점 안내드리겠습니다.

 

출처: Chrome

 

크롬은 국가별로 조금 다르긴 하지만

웹 브라우저 점유율 1위의 브라우저 입니다.

 

CVE 제품/서비스명 OS 취약버전 양호버전
CVE-2024-4761 Chrome
(데스크톱 용)		 Windows 124.0.6367.207/.208 미만 124.0.6367.207/.208 이상
Mac
Linux 124.0.6367.207 미만 124.0.6367.207 이상
CVE-2024-4947 Windows 125.0.6422.60/.61 미만 125.0.6422.60/.61 이상
Mac
Linux 125.0.6422.60 미만 125.0.6422.60 이상

 

두 취약점 모두 Chrome 의 V8 엔진에서

발생하는 취약점입니다.

V8 엔진은 오픈소스 자바 스크립트 엔진으로

안드로이드 브라우저에서도 사용중입니다.

다만 이번엔 데스트탑에서만 발생했습니다.

 

Chromium security severity는 High이며

CVE-2024-4761는 아웃오브바운드 취약점을 이용하여

원격 공격자가 조작된 HTML 페이지를 통해

범위를 벗어난 메모리 쓰기가 가능하며,

 

CVE-2024-4947는 원격 공격자가

조작된 HTML 페이지를 통해

샌드박스 내에서 임의의 코드가 실행되는 취약점입니다. 

 

아직 위협의 위험성이 있어 PoC는 공개되지 않았으나

실제 공격도 일어난 취약점들이라

해당 브라우저를 사용하는 사용자는

최대한 빠른 업데이트를 적용하길 권고 드립니다.

 

 

[참고사이트]

[1] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html

[2] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html

[3] https://github.com/michredteam/CVE-2024-4761

저작자표시 비영리 변경금지

'Information Security > CVE' 카테고리의 다른 글

CVE-2024-27834 Apple 제품의 원격 코드 실행(RCE) 취약점  (0) 2024.05.27
CVE-2024-4323 플루언트비트(Fluent Bit)의 링귀스틱럼버잭(Linguistic Lumberjack) 취약점  (0) 2024.05.22
국내 보안제품 신규 취약점 안내(그누보드, TOS Agent, 수산아이앤티)  (1) 2024.05.15
CVE-2024-34456 Antivirus One의 Code Injection 취약점  (0) 2024.05.13
CVE-2024-31497 Citrix의 XenCenter(Putty) 관리자 SSH 개인키 탈취 취약점  (0) 2024.05.11