컴퓨터 앞에 있는 시간이 점점 줄어들고 있다. 요즘 나의 관심사는 사진이다. 책을 읽어도 사진과 관련된 책을 주로 읽고 있고, 세상을 바라볼 때도 사진의 관점에서 세상을 바라보게 된다. 사진에 대해 아는 것이 없기에 지금 사진이 나의 관심사가 되었다. 아마도 당분간은 사진에 대한 관심이 계속 유지될 것 같다. 때문에 요즘은 나의 블로그에 IT와 관련된 소식을 올리지 못하고 있다. 오래간만에 크롬 브라우저 업데이트가 있는지 확인해 본다. 역시나 업데이트를 수행하지 않은지 오래된 것 같다는 느낌이 맞았다. 새로운 버전이 배포되어 있다. 이번에 배포된 버전은 Chrome 67.0.3396.62(공식 빌드)이다.
요즘 크롬 브라우저는 업데이트를 확인하는 순간 자동으로 업데이트를 진행한다. 구글이니 믿고 그냥 업데이트를 진행한다. 현재 내가 사용하고 있는 크롬 브라우저는 Chrome 버전 66.0.3359.181이다. 버전이 66 -> 67로 변경이 되었으니 뭔가 변경된 사항들이 있을 것으로 예상된다.
업데이트가 완료되면 위 그림과 같이 Chrome를 다시 시작하라고 알린다.
크롬 브라우저를 다시 시작한 후 다시 크롬 브라우저 업데이트를 확인한다. 위 그림과 같이 Chrome이 최신 버전이라고 알려준다. 업데이트 후 크롬 브라우저는 버전 67.0.3396.62(공식 빌드)로 확인되었다.
이번 버전의 변경된 정보를 살피기 전에 오래간만에 크롬 브라우저 업데이트와 관련된 포스팅을 올렸으니 크롬 브라우저 업데이트 방법을 그림으로 캡처했다. Chrome 업데이트는 위 과정을 따르면 된다. 혹, 글 보다 그림으로 업데이트 과정이 필요하다면 아래 링크를 참조하면 된다.
이번 크롬 브라우저 업데이트도 보안 취약점에 대한 업데이트가 대부분이다. 특히나 이번 업데이트에는 고위험군의 보안 취약점 패치가 9건이 포함되어 있다. 때문에 하위 버전의 크롬 브라우저를 사용하고 있다면 보안 관리를 위해 업데이트를 수행할 것을 권장한다. 상세한 내역은 아래와 같다.
Security Fixes and Rewards
Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
This update includes 34 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.
[$3000][835639] High CVE-2018-6123: Use after free in Blink. Reported by Looben Yang on 2018-04-22 [$5000][840320] High CVE-2018-6124: Type confusion in Blink. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2018-05-07 [$5000][818592] High CVE-2018-6125: Overly permissive policy in WebUSB. Reported by Yubico, Inc on 2018-03-05 [$N/A][844457] High CVE-2018-6126: Heap buffer overflow in Skia. Reported by Ivan Fratric of Google Project Zero on 2018-05-18 [$TBD][842990] High CVE-2018-6127: Use after free in indexedDB. Reported by Looben Yang on 2018-05-15 [$TBD][841105] High CVE-2018-6128: uXSS in Chrome on iOS. Reported by Tomasz Bojarski on 2018-05-09 [$N/A][838672] High CVE-2018-6129: Out of bounds memory access in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2018-05-01 [$N/A][838402] High CVE-2018-6130: Out of bounds memory access in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2018-04-30 [$N/A][826434] High CVE-2018-6131: Incorrect mutability protection in WebAssembly. Reported by Natalie Silvanovich of Google Project Zero on 2018-03-27 [$500][839960] Medium CVE-2018-6132: Use of uninitialized memory in WebRTC. Reported by Ronald E. Crane on 2018-05-04 [$500][817247] Medium CVE-2018-6133: URL spoof in Omnibox. Reported by Khalil Zhani on 2018-02-28 [$500][797465] Medium CVE-2018-6134: Referrer Policy bypass in Blink. Reported by Jun Kokatsu (@shhnjk) on 2017-12-23 [$1000][823353] Medium CVE-2018-6135: UI spoofing in Blink. Reported by Jasper Rebane on 2018-03-19 [$1500][831943] Medium CVE-2018-6136: Out of bounds memory access in V8. Reported by Peter Wong on 2018-04-12 [$2000][835589] Medium CVE-2018-6137: Leak of visited status of page in Blink. Reported by Michael Smith (spinda.net) on 2018-04-21 [$2000][810220] Medium CVE-2018-6138: Overly permissive policy in Extensions. Reported by François Lajeunesse-Robert on 2018-02-08 [$2000][805224] Medium CVE-2018-6139: Restrictions bypass in the debugger extension API. Reported by Rob Wu on 2018-01-24 [$2000][798222] Medium CVE-2018-6140: Restrictions bypass in the debugger extension API. Reported by Rob Wu on 2018-01-01 [$2000][796107] Medium CVE-2018-6141: Heap buffer overflow in Skia. Reported by Yangkang(@dnpushme) & Wanglu of Qihoo360 Qex Team on 2017-12-19 [$4500][837939] Medium CVE-2018-6142: Out of bounds memory access in V8. Reported by Choongwoo Han of Naver Corporation on 2018-04-28 [$TBD][843022] Medium CVE-2018-6143: Out of bounds memory access in V8. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2018-05-15 [$500][828049] Low CVE-2018-6144: Out of bounds memory access in PDFium. Reported by pdknsk on 2018-04-02 [$500][805924] Low CVE-2018-6145: Incorrect escaping of MathML in Blink. Reported by Masato Kinugawa on 2018-01-25 [$TBD][818133] Low CVE-2018-6147: Password fields not taking advantage of OS protections in Views. Reported by Michail Pishchagin (Yandex) on 2018-03-02
We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.
As usual, our ongoing internal security work was responsible for a wide range of fixes:
- [847542] Various fixes from internal audits, fuzzing and other initiatives
If you're interested in Enterprise relevant information please look through the Enterprise Release Notes for Chrome 67.
Interested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues.
이번 구글 보안 업데이트와 관련하여 버그 바운티로 최대 상금은 $5000이다. 한 사람이 3건과 2건을 발견한 경우도 있다. 대단한 능력자들이다. 그러나 내 눈에 들어온 것은 위에서 가장 $4500을 획득한 네이버의 한충우 씨다. 대단한 친구다. 작년 9월쯤에도 구글에 보안 취약점을 제보해서 $3000의 상금을 획득했다. 우연이 아닌 것으로 증명이 되었다. 우리나라에도 저런 화이트 해커가 많아지고, 보안 엔지니어들이 많아졌으면 좋겠다. 한충우 씨와 관련된 기사는 아래 링크에서 확인 가능하다.
이번 구글 크롬 브라우저 버전 67.0.3396.62(공식 빌드)와 관련된 정보는 구글 Chrome Releases에서 상세한 정보를 얻을 수 있다.