[데일리시큐]구글, 크롬 제로데이 취약점 CVE-2025-10585 긴급 패치 배포

내용 요약

구글은 9월 17일 Chrome 브라우저를 긴급 업데이트해 4건의 취약점을 패치했습니다. 그 중 CVE‑2025‑10585는 제로데이로 실제 공격에 사용되고 있는 ‘타입 혼동’ 취약점이며, V8 엔진의 자바스크립트·웹어셈블리 실행 경로에서 발생합니다. 공격자는 이를 통해 임의 코드 실행이나 프로그램 충돌을 유발할 수 있습니다.

핵심 포인트

• V8 엔진의 타입 혼동이 실시간으로 공격에 활용되는 제로데이 취약점이다.
• Chrome 업데이트는 총 4건의 취약점을 한 번에 패치해 보안성을 크게 향상시켰다.
• CVE‑2025‑10585는 자바스크립트와 WebAssembly 실행 경로에서 잘못된 데이터 타입 인식으로 발생한다.

기술 세부 내용

1️⃣ V8 엔진과 타입 혼동

• V8 엔진은 Chrome의 JavaScript 실행 엔진이며, WebAssembly( wasm )도 동일한 런타임에 포함됩니다.
• 타입 혼동( Type Confusion )은 컴파일러가 변수나 객체의 실제 타입을 잘못 해석해, 메모리 경계 밖에 접근하거나 잘못된 연산을 수행하도록 만드는 버그입니다.
• CVE‑2025‑10585는 특정 문자열 조작 시 V8 내부에서 Object와 Array 타입을 혼동하도록 유도, 공격자가 원격 코드 실행(RCE)이나 프로그램 충돌(crash)을 일으킬 수 있습니다.
• 해결 절차:
  1. V8 내부에서 타입 검사 로직을 강화 → CheckType() 호출 시 명시적 검증 추가.
  2. WebAssembly 바인딩에서 입력 검증을 추가 → 유효한 wasm 함수 시그니처만 허용.
  3. 테스트: fuzzing(크로스‑사이트 스크립트) 및 정적 분석 도구로 재현 확인.

2️⃣ Chrome 보안 업데이트 프로세스

• 긴급 배포: 공격이 실시간으로 진행 중일 때, 구글은 chrome://update 경로를 통해 Release Channel(Stable, Beta, Dev) 모두에 패치를 신속히 배포합니다.
• 패치 포인트:
  • CVE‑2025‑10585 → 타입 혼동 패치.
  • CVE‑2025‑10586, CVE‑2025‑10587, CVE‑2025‑10588 → 각각 메모리 버퍼 오버플로우, 권한 상승, 정보 노출 등.
• 검증 단계:
  1. 내부 보안팀이 chromium/src/security 레포에 PR 제출.
  2. 크롬 테스트 스위트(blink_test, v8_test)를 거쳐 100% 코드 커버리지 확인.
  3. 퍼블릭 베타 테스트를 통해 실제 사용자 환경에서 오류가 없는지 최종 확인.

이러한 일련의 과정을 통해 Chrome은 사용자에게 신뢰성 높은 보안을 제공하며, 제로데이 공격으로부터 시스템을 보호합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200603