구글 크롬 웹 브라우저 71 버전의 배포되었다. 요즘은 IT와 관련된 뉴스를 읽지 못한다. 관심분야라서 바쁜 일정 속에서도 시간을 내어서 관련 소식을 모니터링했는데 요즘은 약간을 시간도 내지 못하고 있다. 이제는 새로운 기술에는 예전처럼 흥미를 느끼지도 않는다. 새로운 것보다는 기존에 사용하고 있는 기술들을 잊지 않고 잘 활용하는 것에 만족하고 있다. 몸만 늙어가는 것이 아니라 마음도 함께 늙어가고 있다는 증거다. 늙어서 좋을 게 별로 없다. 그런데 하나는 있는 것 같다. 그것은 바로 '눈치', '감(feel)'이다. IT와 관련된 소식을 접하지 못하고 있지만 지금쯤 구글 크롬의 업데이트가 나올 것 같은 느낌을 받았다.
혹시나 싶었다. 그래서 위 그림과 같이 구글 크롬 브라우저에서 설정 > 도움말 > Chrome 정보를 클릭했다.
구글 크롬 브라우저에서 현재 버전이 최신 버전이라고 하지 않고, 업데이트를 확인하는 중이라고 표시를 한다. 뭔가 있다는 것이다. 참고로 현재 사용하고 있는 크롬 브라우저의 버전과 빌드 정보는 Chrome 버전 70.0.3538.110이다.
일단 업데이트가 있음을 확인했고, 위 그림에서와 같이 업데이트가 진행되고 있다.
업데이트 설치 후 위 그림과 같이 '다시 시작'을 클릭한다. 업데이트를 반영하기 위해 크롬 웹 브라우저가 종료되고 다시 시작한다. 시스템이 재부팅되는 것은 아니다.
크롬 웹 브라우저가 다시 실행되면 다시 크롬 정보를 확인한다. 이번 업데이트는 단순히 빌드 업데이트가 아니다. 새로운 버전이 배포가 되었다. 크롬 버전이 70에서 71로 변경되었다. 공식 빌드는 크롬 71.0.3578.80이다. 다시 크롬 브라우저를 살펴보았다. 이번 크롬 71 버전에서는 이전 버전인 크롬 70과 비교했을 때 UI에 대한 변경은 보이지 않는다. 그럼 뭐가 달라졌을까? 궁금해졌다.
우선 구글에서 제공하는 크롬 블로그에서 최신 릴리즈에 대한 정보를 살펴보았다. 이번 버전은 정식 버전이고, 2018년 12월 4일, 한국 시간으로는 12월 5일에 배포가 되었다. 이번 업데이트에는 아래 내용과 같이 43건의 보안 취약점에 대한 업데이트와 일부 개선 사항이 반영되었다. 원문은 이곳을 클릭해서 살펴볼 수 있다.
Stable Channel Update for Desktop
Tuesday, December 4, 2018
The Chrome team is delighted to announce the promotion of Chrome 71 to the stable channel for Windows, Mac and Linux. This will roll out over the coming days/weeks.
Chrome 71.0.3578.80 contains a number of fixes and improvements -- a list of changes is available in the log. Watch out for upcoming Chrome and Chromium blog posts about new features and big efforts delivered in 71.
Security Fixes and Rewards
Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
This update includes 43 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.
[$N/A][905940] High CVE-2018-17480: Out of bounds write in V8. Reported by Guang Gong of Alpha Team, Qihoo 360 via Tianfu Cup on 2018-11-16
[$6000][901654] High CVE-2018-17481: Use after frees in PDFium. Reported by Anonymous on 2018-11-04
[$5000][895362] High CVE-2018-18335: Heap buffer overflow in Skia. Reported by Anonymous on 2018-10-15
[$5000][898531] High CVE-2018-18336: Use after free in PDFium. Reported by Huyna at Viettel Cyber Security on 2018-10-24
[$3000][886753] High CVE-2018-18337: Use after free in Blink. Reported by cloudfuzzer on 2018-09-19
[$3000][890576] High CVE-2018-18338: Heap buffer overflow in Canvas. Reported by Zhe Jin(金哲),Luyao Liu(刘路遥) from Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd on 2018-09-29
[$3000][891187] High CVE-2018-18339: Use after free in WebAudio. Reported by cloudfuzzer on 2018-10-02
[$3000][896736] High CVE-2018-18340: Use after free in MediaRecorder. Reported by Anonymous on 2018-10-18
[$3000][901030] High CVE-2018-18341: Heap buffer overflow in Blink. Reported by cloudfuzzer on 2018-11-01
[$3000][906313] High CVE-2018-18342: Out of bounds write in V8. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2018-11-17
[$1000][882423] High CVE-2018-18343: Use after free in Skia. Reported by Tran Tien Hung (@hungtt28) of Viettel Cyber Security on 2018-09-10
[$TBD][866426] High CVE-2018-18344: Inappropriate implementation in Extensions. Reported by Jann Horn of Google Project Zero on 2018-07-23
[$TBD][900910] High To be allocated: Multiple issues in SQLite via WebSQL. Reported by Wenxiang Qian of Tencent Blade Team on 2018-11-01
[$8000][886976] Medium CVE-2018-18345: Inappropriate implementation in Site Isolation. Reported by Masato Kinugawa and Jun Kokatsu (@shhnjk) on 2018-09-19
[$2000][606104] Medium CVE-2018-18346: Incorrect security UI in Blink. Reported by Luan Herrera (@lbherrera_) on 2016-04-23
[$2000][850824] Medium CVE-2018-18347: Inappropriate implementation in Navigation. Reported by Luan Herrera (@lbherrera_) on 2018-06-08
[$2000][881659] Medium CVE-2018-18348: Inappropriate implementation in Omnibox. Reported by Ahmed Elsobky (@0xsobky) on 2018-09-07
[$2000][894399] Medium CVE-2018-18349: Insufficient policy enforcement in Blink. Reported by David Erceg on 2018-10-11
[$1000][799747] Medium CVE-2018-18350: Insufficient policy enforcement in Blink. Reported by Jun Kokatsu (@shhnjk) on 2018-01-06
[$1000][833847] Medium CVE-2018-18351: Insufficient policy enforcement in Navigation. Reported by Jun Kokatsu (@shhnjk) on 2018-04-17
[$1000][849942] Medium CVE-2018-18352: Inappropriate implementation in Media. Reported by Jun Kokatsu (@shhnjk) on 2018-06-06
[$1000][884179] Medium CVE-2018-18353: Inappropriate implementation in Network Authentication. Reported by Wenxu Wu (@ma7h1as) of Tencent Security Xuanwu Lab on 2018-09-14
[$1000][889459] Medium CVE-2018-18354: Insufficient data validation in Shell Integration. Reported by Wenxu Wu (@ma7h1as) of Tencent Security Xuanwu Lab on 2018-09-26
[$500][896717] Medium CVE-2018-18355: Insufficient policy enforcement in URL Formatter. Reported by evi1m0 of Bilibili Security Team on 2018-10-18
[$TBD][883666] Medium CVE-2018-18356: Use after free in Skia. Reported by Tran Tien Hung (@hungtt28) of Viettel Cyber Security on 2018-09-13
[$TBD][895207] Medium CVE-2018-18357: Insufficient policy enforcement in URL Formatter. Reported by evi1m0 of Bilibili Security Team on 2018-10-15
[$TBD][899126] Medium CVE-2018-18358: Insufficient policy enforcement in Proxy. Reported by Jann Horn of Google Project Zero on 2018-10-26
[$TBD][907714] Medium CVE-2018-18359: Out of bounds read in V8. Reported by cyrilliu of Tencent Zhanlu Lab on 2018-11-22
[$500][851821] Low To be allocated: Inappropriate implementation in PDFium. Reported by Salem Faisal Elmrayed on 2018-06-12
[$500][856135] Low To be allocated: Use after free in Extensions. Reported by Zhe Jin(金哲),Luyao Liu(刘路遥) from Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd on 2018-06-25
[$500][879965] Low To be allocated: Inappropriate implementation in Navigation. Reported by Luan Herrera (@lbherrera_) on 2018-09-03
[$500][882270] Low To be allocated: Inappropriate implementation in Navigation. Reported by Jesper van den Ende on 2018-09-09
[$500][890558] Low To be allocated: Insufficient policy enforcement in Navigation. Reported by Ryan Pickren (ryanpickren.com) on 2018-09-29
[$TBD][895885] Low To be allocated: Insufficient policy enforcement in URL Formatter. Reported by evi1m0 of Bilibili Security Team on 2018-10-16
This bug was fixed in Chrome 69, but was incorrectly omitted from the release notes at the time:
[$3000][853937] Medium To be allocated: Insufficient policy enforcement in Payments. Reported by Jun Kokatsu (@shhnjk) on 2018-06-18
We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.
As usual, our ongoing internal security work was responsible for a wide range of fixes:
[911706] Various fixes from internal audits, fuzzing and other initiatives
Many of our security bugs are detected using AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, or AFL.
Interested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues.
이번 업데이트에서 반가운 소식은 잘못된 클릭을 유도하는 악성 광고에 대한 차단 기능이다. 구글은 크롬 버전 71에서 악의적 광고가 주로 게시되는 사이트에서 모든 광고를 삭제 후 페이지를 열리게 될 것이라고 한다. 구글이 정의하는 악성 광고는 웹 페이지를 열었을 때 '닫기' 또는 'X' 버튼이 포함된 광고 등으로 사용자가 해당 버튼을 클릭하려고 하면 창이 움직여 사기성 악성 광고를 클릭하게 만드는 행위가 포함된 광고를 말한다. 사용자들에게는 반가운 소식이다.