[KRCERT]구글 Chrome 브라우저 보안 업데이트 권고

내용 요약

Google은 Chrome 브라우저의 JavaScript 엔진 V8에서 발견된 Type Confusion 취약점 (CVE-2025-6554)을 해결하기 위한 보안 업데이트를 발표했습니다. Windows, Mac, Linux 사용자는 Chrome을 최신 버전(138.0.7204.96/.97/.92/.93)으로 업데이트해야 합니다.

핵심 포인트

• Chrome 브라우저의 Type Confusion 취약점 (CVE-2025-6554) 패치 완료.
• 모든 Chrome 사용자는 최신 버전으로 즉시 업데이트 필요.
• 공격자가 이 취약점을 악용할 경우 시스템 제어권을 탈취할 수 있음.

기술 세부 내용

1️⃣ Type Confusion (CVE-2025-6554) 취약점

• Type Confusion 취약점은 JavaScript 엔진인 V8에서 발생합니다. V8 엔진은 JavaScript 코드를 기계어 코드로 변환하는 과정에서 변수의 타입을 잘못 판단하는 경우가 발생할 수 있습니다. 공격자는 이러한 오류를 악용하여 임의의 코드를 실행하거나 시스템 권한을 탈취할 수 있습니다. CVE-2025-6554는 이러한 Type Confusion 취약점 중 하나로, 악용될 경우 심각한 보안 위협을 초래할 수 있습니다.
• 기술적 설명: JavaScript는 동적 타입 언어이므로, 변수의 타입이 런타임에 결정됩니다. V8 엔진은 최적화를 위해 변수의 타입을 추론하고 그에 맞는 코드를 생성하는데, 이 과정에서 타입 추론이 잘못될 경우 Type Confusion 취약점이 발생할 수 있습니다. 예를 들어, V8 엔진이 특정 변수를 객체로 추론했지만 실제로는 정수일 경우, 객체에 대한 연산을 시도하면서 메모리 손상이나 예기치 않은 동작이 발생할 수 있습니다.

2️⃣ V8 JavaScript 엔진

• V8은 Google에서 개발한 오픈 소스 고성능 JavaScript 및 WebAssembly 엔진입니다. Chrome 브라우저 및 Node.js를 비롯한 다양한 환경에서 사용됩니다. V8은 JavaScript 코드를 빠르게 실행하기 위해 JIT(Just-In-Time) 컴파일, 최적화된 가비지 컬렉션 등 다양한 기술을 사용합니다. V8의 성능은 웹 애플리케이션의 성능에 직접적인 영향을 미치기 때문에 지속적인 업데이트와 개선이 이루어지고 있습니다.

3️⃣ Chrome 브라우저 업데이트

• 이번 업데이트는 CVE-2025-6554 취약점을 해결하여 Chrome 사용자의 시스템 보안을 강화합니다. 업데이트는 Windows, Mac, Linux 모든 운영체제에 적용되며, 사용자는 Chrome 브라우저 설정에서 "Chrome 정보"를 확인하고 최신 버전으로 업데이트할 수 있습니다. 업데이트 후 브라우저를 재시작하면 변경 사항이 적용됩니다. 주기적인 업데이트를 통해 최신 보안 패치를 적용하는 것이 중요합니다.
  • Chrome (Windows): 138.0.7204.96/.97
  • Chrome (Mac): 138.0.7204.92/.93
  • Chrome (Linux): 138.0.7204.92
• ❗ 업데이트 버전 정보:

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6517