마이크로 소프트의 Windows 10 업데이트 중 하나가 너무 나빠서 Chrome이 손상되었습니다.

마이크로 소프트의 Windows 10 업데이트 중 하나가 너무 나빠서 Chrome이 손상되었습니다.

그리고 다른 Chromium 브라우저

구글은 마이크로 소프트가 윈도우 10 1903 업데이트 를 통해 크롬을 포함한 모든 크롬 기반 웹 브라우저에서 중요한 보안 기능을 깨뜨렸다 고 밝혔다 .

문제의 보안 기능은 Chromium 샌드 박스입니다. 샌드 박스는 사용자가 앱을 실행할 수 있도록해야하며 확장은 운영 체제와 별개의 가상 환경입니다. 샌드 박스에서 실행중인 다운로드에 악성 코드가 포함되어 있으면 운영 체제에 액세스하거나 감염시킬 수 없습니다.

이 도구는 매우 유용한 도구이지만, 어느 시점에서 Microsoft는 "보안 기능 우회 취약성"(Microsoft 자체 가 보안 권고라고 함 )을 포함 시켰 습니다. 이는 Windows 10 이 "적절하게 토큰 관계를 처리"하지 못했음을 의미 합니다 .

영어로?
기본적으로 이것은 악의적 인 사용자가 취약점을 악용하여 무결성 수준이 하나 인 응용 프로그램이 다른 무결성 수준에서 코드를 실행하도록 허용하고 Chromium 샌드 박스를 벗어나 호스트 PC에 영향을 줄 수있는 코드를 실행할 수 있다는 것을 의미합니다. 기본적으로 샌드 박스가 설계된 것과 정확히 반대입니다.

이 문제를 발견 한 Google의 Project Zero 팀 은 블로그 게시물 에서“제한된 토큰을 사용하여 최소 권한 개념에서 샌드 박스가 작동합니다”라고 언급합니다. 이러한 토큰을 올바르게 처리하지 않으면 PC가 위험에 처할 수 있습니다 .

이 취약점의 작동 방식을 자세히 설명하는 것처럼 블로그 게시물 전체는 매우 기술적 인 내용 이지만 읽을 가치가 있습니다.

샌드 박스 기능을 사용하지 않더라도 Chrome이 전 세계에서 가장 널리 사용되는 웹 브라우저 인 Chrome에 영향을 미친다는 사실은 확실히 걱정입니다. Windows 10 업데이트에 대한 Microsoft의 최근 문제가 다른 개발자의 소프트웨어에도 영향을 미치고 있음을 보여줍니다.

Chrome뿐만 아니라 Chromium 엔진을 사용하는 모든 브라우저입니다. 당황스럽게도 이제 새로운 Microsoft Edge 도 포함됩니다 .

아마도 더 당혹 스럽게도 Microsoft 는 이 취약점을 해결하기위한 패치 (Windows 10 KB4549951)를 출시했지만 이 패치 로 인해 일부 사용자에게 심각한 문제가 발생한 것으로 밝혀졌습니다 .