±¸±Û Å©·Ò À¥ºê¶ó¿ìÀú¿¡¼ ¿ø°ÝÁ¦¾î °ø°Ý¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Â º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. Å©·Ò »ç¿ëÀÚ´Â Ãë¾àÁ¡ ÆÐÄ¡°¡ ¿Ï·áµÈ ÃֽŹöÀü(72.0.3626.121)À¸·Î ¾÷µ¥ÀÌÆ®µÆ´ÂÁö È®ÀÎÇØ¾ß ÇÑ´Ù.
±¸±ÛÀº ÀÌ´Þ 1ÀÏ ¹èÆ÷ÇÑ Å©·Ò ¾÷µ¥ÀÌÆ®¿¡ º¸¾È Ãë¾àÁ¡ ÆÐÄ¡°¡ Æ÷ÇԵƴٴ »ç½ÇÀ» ÃÖ±Ù ¹àÇû´Ù. ±¸±Û À§ÇùºÐ¼®±×·ìÀÌ Áö³´Þ ¸» ¹ß°ßÇØ CVE-2019-5786·Î ÁöÁ¤µÈ ÀÌ Ãë¾àÁ¡Àº °íÀ§Ç豺À¸·Î ºÐ·ùµÆ´Ù. ÆÐÄ¡ ´ç½Ã À̸¦ ³ë¸° Á¦·Îµ¥ÀÌ °ø°Ýµµ ³ªÅ¸³µ´Ù.
ÇØÄ¿´º½º(TheHackerNews) µî ¿Ü½Å¿¡ µû¸£¸é À̹ø Ãë¾àÁ¡Àº Å©·Ò ºê¶ó¿ìÀú ÆÄÀϸ®´õ(FileReader) ÄÄÆ÷³ÍÆ®¿¡¼ ¹ß°ßµÆÀ¸¸ç, UAF(Use-After-Free) Ãë¾àÁ¡À¸·Î ¾Ë·ÁÁ³´Ù. ÆÄÀϸ®´õ´Â À¥¾ÖÇø®ÄÉÀ̼ÇÀÌ »ç¿ëÀÚ ±â±â¿¡ ÀúÀåµÈ ÆÄÀÏ ³»¿ëÀ» ºñµ¿±âÀûÀ¸·Î ÀÐ°Ô Áö¿øÇϴ ǥÁØ ¾ÛÇÁ·Î±×·¡¹ÖÀÎÅÍÆäÀ̽º(API)´Ù. Å©·Ò»Ó ¾Æ´Ï¶ó ´Ù¸¥ ÁÖ¿ä À¥ºê¶ó¿ìÀú¿¡µµ Æ÷ÇԵƴÙ.
UAF Ãë¾àÁ¡Àº ¸Þ¸ð¸® ÇØÁ¦ ÈÄ Àç»ç¿ë °ü·Ã ¹ö±×´Ù. Á¤»óÀûÀÎ ½ÇÇà Äڵ尡 À߸øµÈ ¸Þ¸ð¸® ó¸® ·ÎÁ÷À» »ç¿ëÇÒ ¶§ ¹ß»ýÇÑ´Ù. ÇØÁ¦µÈ ¸Þ¸ð¸®¿Í ÄÚµå Åë½ÅÀ¸·Î À̾îÁú ¼ö ÀÖ´Ù. Áö³ÇØ ÀÎÅͳÝÀͽºÇ÷η¯(IE) ¶ÇÇÑ UAF Ãë¾àÁ¡À» ¾Ç¿ëÇÑ ÀͽºÇ÷ÎÀÕÀÌ ¹ß°ßµÅ ÆÐÄ¡°¡ ÀÌ·ïÁ³´Ù.
°ø°ÝÀÚ´Â Ãë¾àÁ¡À» ¾Ç¿ëÇØ Å©·Ò ºê¶ó¿ìÀú¿¡ ´ëÇÑ ±ÇÇÑÀ» Å»Ãë, »÷µå¹Ú½º º¸È£¸¦ ¹þ¾î³ª ½Ã½ºÅÛ¿¡ ¾Ç¼ºÄڵ带 ½ÇÇàÇÏ°í ¿ø°ÝÁ¦¾îÇÒ ¼ö ÀÖ´Ù. º¸¾È¾÷ü ½ºÆ¿¸®¾ð °ü°èÀÚ´Â ¡°À̹ø Å©·Ò Ãë¾àÁ¡Àº ƯÁ¤ À¥»çÀÌÆ®¿¡ ¹Ì¸® ¾Ç¼ºÄڵ带 ½É¾î³õ°í »ç¿ëÀÚ°¡ ¿¶÷Çϵµ·Ï À¯µµÇØ °¨¿°½ÃÅ°´Â ¿öÅ͸µÈ¦(Watering Hole) °ø°Ý¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
±¸±ÛÀº ¸ðµç ¿î¿ëü°è(OS)¿¡¼ ¿î¿µµÇ´Â Å©·Ò ºê¶ó¿ìÀú ´ë»óÀ¸·Î 72.0.3626.121¹öÀü ¾÷µ¥ÀÌÆ®·Î Ãë¾àÁ¡À» ÆÐÄ¡Çß´Ù. Å©·Ò ½ÇÇà ½Ã Àû¿ëµÇ´Â ÀÚµ¿ ¾÷µ¥ÀÌÆ® ±â´ÉÀ¸·Î »ç¿ëÀÚ´Â ÀϹÝÀûÀ¸·Î ÃֽŹöÀüÀ» »ç¿ëÇÑ´Ù. ÃֽŹöÀüÀÌ ¾Æ´Ï¾î¼ ¾÷µ¥ÀÌÆ® ±Ç°í°¡ ¶á´Ù¸é Áï½Ã ¾÷µ¥ÀÌÆ®¸¦ ½ÇÇàÇÑ´Ù. Å©·Ò ºê¶ó¿ìÀú ¿ìÃø»ó´Ü¿¡ À§Ä¡ÇÑ '¸ÂÃã¼³Á¤¡¤Á¦¾î(¡¦)'¸Þ´º¸¦ ¿¾î 'µµ¿ò¸»' Ç׸ñ¿¡ ÀÖ´Â 'Å©·ÒÁ¤º¸'¸¦ ¿¶÷ÇÏ¸é »ç¿ë ÁßÀÎ ¹öÀüÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
±¸±Û Å©·ÒÆÀÀº ºí·Î±×¸¦ ÅëÇØ ¡°´ë´Ù¼ö »ç¿ëÀÚ°¡ ¼öÁ¤»çÇ×ÀÌ Æ÷ÇÔµÈ ¾÷µ¥ÀÌÆ®¸¦ ¹ÞÀ» ¶§±îÁö´Â ¹ö±× ¼¼ºÎ»çÇ×°ú ¸µÅ©¿¡ ´ëÇÑ Á¢±ÙÀÌ Á¦ÇÑµÉ ¼ö ÀÖ´Ù¡±¸ç ¡°°ü·Ã ½áµåÆÄƼ ¶óÀ̺귯¸®¿¡ ÇØ´ç ¹ö±×°¡ °íÃÄÁöÁö ¾ÊÀº ä Á¸ÀçÇÒ °æ¿ì Á¦ÇÑÀ» °è¼Ó À¯ÁöÇÒ ¼ö ÀÖ´Ù¡±°í ¹àÇû´Ù.
Æص¿Çö±âÀÚ paing@etnews.com