구글이 크로미움의 미해결 취약점 세부 정보를 실수로 유출한 뒤의 상황이 이슈 트래커에 게시되었다. 해당 결함으로 브라우저가 닫혀 있어도 자바스크립트가 백그라운드에서 계속 실행되어 기기에서 원격 코드 실행이 가능하다는 점이 확인되었다.
발견자는 보안 연구원 라이라 레바네로, 이 취약점은 2022년 12월에 유효한 것으로 인정되었다고 보고되었다. 공격자는 이 문제를 악용해 다운로드 작업 등 절대 종료되지 않는 서비스 워커를 포함한 악성 웹페이지를 생성할 수 있으며, 방문자의 기기에서 자바스크립트 코드를 실행할 수 있다고 설명했다.
레바네는 원본 버그 보고서를 통해 수만 건의 페이지뷰를 확보해 봇넷을 구축하는 현실적인 시나리오가 존재한다고 말했고, 사용자들이 기기에서 자바스크립트가 원격으로 실행될 수 있다는 사실을 인지하지 못할 것이라는 우려를 제기했다. 악용 시나리오로는 해킹된 브라우저를 이용한 DDoS, 악성 트래픽 프록시화, 트래픽 리디렉션 등이 포함된다.
문제는 구글 크롬, 마이크로소프트 엣지, 브레이브, 오페라, 비발디, 아크를 포함한 모든 크로미움 기반 브라우저에 영향을 주는 것으로 나타났다. 한국의 네이버 웨일도 지속적으로 취약점의 영향을 받는 것으로 보고되었다. 구글 개발자는 이 문제가 여전히 해결되지 않았다고 밝히고 심각한 취약점으로 상태 업데이트 필요성을 제기했다.
올해 2월 10일 이슈는 해결된 것으로 표시되었으나 몇 가지 우려로 다시 열렸고, 버그의 라벨이 업데이트되며 크롬 취약점 보상 프로그램의 절차를 거칠 수 있게 되었다. 패치는 아직 배포되지 않았지만 2월 12일에 이슈가 해결된 것으로 표시되었고, 레바네는 1,000달러의 버그 바운티 통보를 받았다. 다만 해당 버그가 14주 이상 폐쇄 상태였고 시스템상 수정으로 표시되었기 때문에 5월 20일 크로미움 이슈 트래커의 접근 제한이 해제되었다는 사실이 확인되었다.
같은 날 레바네는 수정 사항을 테스트한 결과 크롬 개발 빌드 150과 엣지 148에서도 문제가 여전히 남아 있음을 확인했다. 어제 게시물에서 2022년에 사용자의 조작 없이도 크롬 기반 브라우저를 영구적인 자바스크립트 봇넷 구성원으로 만들 수 있는 버그를 발견했다고 재차 밝혔다. 마이크로소프트 엣지의 경우 사용자는 이상 징후를 감지하지 못하는 상황이 지속되며, 브라우저를 닫고도 C2 서버와의 연결이 유지되는 특징이 확인되었다. 패치가 나올 때까지 주의가 필요하다는 점이 강조되었다.
원문 링크 : 구글 실수로 수정되지 않은 크롬 취약점의 세부 정보를 공개
