[데일리시큐]크롬 V8 제로데이 ‘CVE-2025-6554’ 취약점 패치 시급…실제 사이버공격에 악용중

내용 요약

미국 CISA는 구글 크롬 브라우저의 V8 엔진에서 발견된 제로데이 취약점 (CVE-2025-6554) 악용 사례를 확인하고, 연방 기관에 7월 23일까지 패치를 의무화했습니다. 이 취약점은 구글 TAG가 발견한 타입 혼동 문제로, 공격자가 악성 HTML 페이지를 통해 임의 코드를 실행할 수 있게 합니다.

핵심 포인트

• 구글 크롬 V8 엔진의 제로데이 취약점 CVE-2025-6554 악용 사례 확인 및 KEV 목록 등재.
• CISA, 연방 기관 대상 7월 23일까지 패치 의무화.
• V8 엔진의 타입 혼동 취약점으로 인해 임의 코드 실행 가능성.
• 구글 TAG, 2025년 6월 25일 취약점 발견 및 패치 배포.

기술 세부 내용

1️⃣ CVE-2025-6554: V8 Type Confusion Vulnerability

• 설명: V8 자바스크립트 엔진에서 발생하는 타입 혼동(Type Confusion) 취약점입니다. 타입 혼동은 프로그램이 변수의 데이터 타입을 잘못 해석하여 예상치 못한 동작을 유발하는 취약점입니다. 이 경우, 공격자는 특수하게 제작된 HTML 페이지를 통해 V8 엔진의 타입 혼동을 유발하고, 이를 악용하여 임의 코드를 실행할 수 있습니다.
• 영향: 공격자가 취약한 시스템에서 임의 코드를 실행하여 시스템 제어 권한을 획득할 수 있습니다. 이는 데이터 유출, 시스템 손상, 악성코드 설치 등 심각한 보안 위협으로 이어질 수 있습니다.
• 발견: 구글 위협 분석 그룹(TAG)에서 2025년 6월 25일에 발견했습니다.
• CVE ID: CVE-2025-6554 (Common Vulnerabilities and Exposures)
• 패치: 구글은 해당 취약점을 해결하는 패치를 배포했습니다. 크롬 브라우저 사용자는 최신 버전으로 업데이트하여 취약점을 해결해야 합니다.
• KEV 등재: CISA는 이 취약점이 실제로 악용되고 있음을 확인하고 KEV(Known Exploited Vulnerabilities) 목록에 추가했습니다. 미국 연방 기관은 7월 23일까지 패치를 완료해야 합니다.

2️⃣ V8 JavaScript Engine

• 설명: V8은 구글이 개발한 오픈 소스 고성능 자바스크립트 및 웹어셈블리 엔진입니다. 크롬 브라우저, Node.js, Chromium 기반 브라우저 등에서 사용됩니다.
• 역할: 웹 페이지의 자바스크립트 코드를 해석하고 실행하여 동적인 웹 페이지를 구현하는 데 중요한 역할을 합니다.
• 성능: 빠른 실행 속도와 효율적인 메모리 관리로 알려져 있습니다.
• 보안: V8 엔진의 취약점은 웹 브라우저의 보안에 직접적인 영향을 미칠 수 있으므로 지속적인 보안 업데이트가 중요합니다. ️

3️⃣ Known Exploited Vulnerabilities (KEV)

• 설명: CISA에서 관리하는 악용 사례가 확인된 취약점 목록입니다. 실제 공격에 악용된 취약점들을 포함하고 있어 위험도가 높습니다. ☠️
• 목적: 연방 기관 및 기타 조직에 중요한 취약점 패치 우선순위를 제공하여 사이버 공격으로부터 시스템을 보호하는 데 도움을 줍니다.
• 의무화: CISA는 KEV 목록에 등재된 취약점에 대한 패치를 연방 기관에 의무화하고 있습니다. 기관들은 정해진 기한 내에 패치를 적용해야 합니다. ⏰

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167710