Smart Life

Google Chrome 버전 78 배포

하나모자란천사 2019. 10. 24. 18:20

한 번 게을러지면 끝이 없다. 핑계는 얼마든지 만들 수 있다. 지금의 내 모습이 그렇다. 블로그에 포스팅할 소재는 조금만 관심을 갖고 주위를 살피면 찾을 수 있지만 그게 귀찮을 뿐이다. 오늘도 잠시 그런 고민을 했다. 이러다가 블로그를 너무 방치하게 될 것 같아 오늘 크롬 업데이트를 수행하고 이와 관련된 내용을 포스팅하려고 한다. 그동안 구글 크롬이 새로운 버전을 배포하거나 업데이트를 배포하면 꾸준히 관련 내용을 포스팅했지만 구글 크롬 업데이트와 관련된 포스팅은 오래간만에 작성한다. 그래서 찾아보았다. 마지막으로 구글 크롬과 관련해서 포스팅한 것이 언제였을까? 2019년 3월이다. 당시 버전이 크롬 버전 73을 사용하고 있었다. 그런데 벌써 크롬 버전 78.x가 나왔다.




아직 크롬이 설치되지 않은 상황이면 구글 크롬 웹 사이트에 접속해서 Chrome hrome 다운로드를 클릭 후 설치를 하면 되고, 이미 사용 중이라면 크롬 실행 화면의 우측 상단에 설정 아이콘을 클릭 후 도움말과 Chrome 정보를 클릭하면 위 그림과 같이 설정 화면에서 자동으로 업데이트를 수행한다. 최근에는 자동 업데이트 기능이 활성화되어 있어 새로운 버전을 나왔는지 확인하지 않고 자동으로 업데이트를 수행하고 있다. 때문에 예전처럼 구글 크롬 웹 브라우저의 업데이트와 관련된 포스팅을 거의 작성하지 않고 있다.



'다시 시작'을 클릭하면 크롬 웹 브라우저가 다시 구동되고 업데이트가 적용된 것을 확인할 수 있다. 새로운 크롬 웹 브라우저를 사용하다 보니 전에 없던 새로운 기능이 있다. 각 탭에 마우스를 옮기면 해당 웹 페이지에 대한 정보를 풍선 도움말로 보여 준다. 화면을 캡처해서 보여주고 싶은데 그럴 수 없다. 키보드가 클릭되면 도움말이 닫혀 버린다. 그 외 어떤 기능들이 달라졌을까?



DoH는 DNS-over-HTTPS라는 것으로, DNS와 관련된 트래픽을 암호화하여 처리하는 기능을 말한다. 이번 버전에서는 이 DoH가 실험적으로 적용되었다. DoH와 브라우저의 궁합을 살펴보기 위함이다. 리눅스와 iOS를 제외하고는 모든 플랫폼에 동일하게 실험이 진행될 것이라고 구글은 발표했다.


또한 이번 버전에서부터 사용자의 비밀번호가 데이터 침해 사고의 DB에서 발견될 경우 사용자에게 경고 메시지를 전달할 예정이다. 이 기능과 관련된 옵션은 Check password safety라는 비밀번호 관리 항목에서 조정할 수 있다. 이 기능 역시 실험 단계를 먼저 거칠 예정이다. 활성화하려면 크롬을 통해 구글 계정에 로그인한 상태여야 한다.


이번에 해결된 취약점들 중 21개는 외부 전문가들이 구글 측에 보고한 것이라고 한다. 이 중 3개는 고위험군, 12개는 중간급, 6개는 저위험군에 속하는 것으로 분석됐다. 이 중 가장 패치를 서둘러야 하는 건 블링크(Blink)라는 요소 내에서 발견된 UaF 취약점과 버퍼 오버런 취약점이다. 둘 다 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에(Man Yue)가 발견했다.


이 두 개의 취약점은 각각 CVE-2019-13699와 CVE-2019-13700이라는 번호가 붙었다. 전자에 대해서는 2만 달러가, 후자에 대해서는 1만 5천 달러의 상금이 수여됐다. 다음 고위험군 취약점은 CVE-2019-13701로, 데이비드 얼섹(David Erceg)이라는 전문가가 발견한 URL 스푸핑 관련 버그다. 구글은 1천 달러의 상금을 수여했다.


그 외에도 중요한 취약점은 다음과 같다.


1) CVE-2019-13702 : 인스톨러 요소에서 발견된 권한 상승

2) CVE-2019-13703 : URL 바 스푸핑

3) CVE-2019-13704 : CSP 우회

4) CVE-2019-13705 : 확장 프로그램 허용 우회

5) CVE-2019-13706 : PDFium 내에서 발견된 아웃 오브 바운즈 리드


이번에 패치된 중간급 위험도 취약점은 다음과 같다.


1) CVE-2019-13707 : 파일 스토리지 노출

2) CVE-2019-13708 : HTTP 인증 스푸핑

3) CVE-2019-13709 : 다운로드 보호 우회

4) CVE-2019-13710 : 다운로드 보호 우회

5) CVE-2019-13711 : 교차 컨텍스트 정보 노출

6) CVE-2019-15903 : expat에서의 버퍼 오버플로우

7) CVE-2019-13713 : 교차 출처 데이터 노출


저위험군에 속한 취약점들은 다음과 같다.


1) CVE-2019-13714 : CSS 주입

2) CVE-2019-13715 : 주소바 스푸핑

3) CVE-2019-13716 : 서비스 작업자 상태 오류

4) CVE-2019-13717 : 모호한 통보

5) CVE-2019-13719 : 모호한 통보

6) CVE-2019-13718 : IDN 스푸핑


새로운 크롬의 정확한 버전 숫자는 78.0.3904.70이며 윈도우용, 맥용, 리눅스용이 현재 배포되고 있는 중이다.