[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-07-02)

내용 요약

Chromium 기반 웹 브라우저(Google Chrome, Microsoft Edge, Opera 등)에서 발견된 Type Confusion 취약점(CVE-2025-6554) 관련 내용입니다. 공격자가 특수 제작된 HTML 페이지를 통해 임의 읽기/쓰기를 수행할 수 있습니다. 벤더의 지침에 따라 완화 조치를 적용하거나, 클라우드 서비스의 경우 BOD 22-01 지침을 따르고, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단해야 합니다.

핵심 포인트

• 심각도: 높음 (임의 코드 실행 가능성)
• 영향 범위: Chromium 기반 웹 브라우저 (Google Chrome, Microsoft Edge, Opera 등)
• 취약점 종류: Type Confusion
• ️ 공격 벡터: 특수 제작된 HTML 페이지
• ️ 대응 방안: 벤더 지침에 따른 완화 조치 적용, BOD 22-01 지침 준수, 제품 사용 중단

기술 세부 내용

1️⃣ Type Confusion 취약점 (CVE-2025-6554)

• Type Confusion은 프로그램이 데이터의 유형을 잘못 해석하여 발생하는 취약점입니다.
• 이 경우, V8 JavaScript 엔진에서 객체의 유형을 잘못 확인하여 공격자가 메모리에 임의로 접근할 수 있게 됩니다.
• 공격자는 이 취약점을 악용하여 악성코드를 실행하거나 시스템 권한을 탈취할 수 있습니다.
• 특수 제작된 HTML 페이지를 통해 사용자도 모르게 악성 스크립트가 실행될 수 있습니다. ️

2️⃣ Chromium V8 엔진

• V8은 Google에서 개발한 오픈 소스 고성능 JavaScript 및 WebAssembly 엔진입니다. ⚙️
• Chromium 기반 웹 브라우저 (Google Chrome, Microsoft Edge, Opera 등)에서 JavaScript 코드를 실행하는 데 사용됩니다.
• V8 엔진의 취약점은 해당 엔진을 사용하는 모든 브라우저에 영향을 미칠 수 있습니다. ⚠️

3️⃣ 완화 조치 및 대응 방안

• 벤더(브라우저 개발사)에서 제공하는 보안 업데이트를 최대한 빨리 적용해야 합니다.
• 클라우드 서비스 환경에서는 BOD 22-01 지침을 따라 추가적인 보안 조치를 구현해야 합니다. ☁️
• 만약 완화 조치를 적용할 수 없는 상황이라면, 해당 제품(취약한 버전의 브라우저) 사용을 중단해야 합니다. ⛔
• 웹사이트 방문 시 주의를 기울이고, 출처가 불분명한 링크나 파일은 클릭하지 않도록 합니다. ️

4️⃣ BOD 22-01

• BOD 22-01은 미국 연방 정부 기관에서 클라우드 서비스 제공 업체에 대한 사이버 보안 요구 사항을 명시한 지침입니다. ️
• 이 지침은 연방 정부 데이터의 기밀성, 무결성, 가용성을 보호하기 위해 마련되었습니다. ️
• 클라우드 서비스 공급자는 BOD 22-01을 준수하여 사이버 보안 위협으로부터 시스템을 보호해야 합니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6518