Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
Mozilla has released Firefox 137.0.2, addressing a high-severity security flaw that could potentially allow attackers to exploit memory corruption.
gbhackers.com
Critical Chrome Vulnerability Exposes Users to Data Theft and Unauthorized Access
Critical Chrome Vulnerability Exposes Users to Data Theft and Unauthorized Access
A critical security vulnerability has been discovered in Google Chrome, prompting an urgent update as millions of users worldwide face potential threats.
gbhackers.com
- Firefox의 CVE-2025-3608 취약점
- Mozilla는 Firefox 137.0.2 버전에서 고위험(Race Condition 기반) 메모리 손상 취약점(CVE-2025-3608)을 패치함
- 해당 취약점은 nsHttpTransaction 구성요소에서 발생하며, 멀티스레드 환경에서 동시 접근 처리 실패로 인한 메모리 훼손을 유발
- 공격자는 이를 악용해 임의 코드 실행 또는 브라우저 비정상 종료 유발 가능
- Mozilla Fuzzing Team이 내부 퍼징(Fuzzing) 기술을 통해 탐지한 것으로, 초기 보고는 Bugzilla의 Bug 1951554에 등록됨
- 현재까지 실제 악용 사례는 없지만, 메모리 손상 취약점 특성상 향후 익스플로잇 가능성이 크므로 즉각적인 업데이트 권고
- Chrome의 CVE-2025-3619 및 CVE-2025-3620 취약점
- Google은 Chrome 135.0.7049.95/.96 버전에서 2건의 메모리 관련 심각한 보안 취약점을 수정함
- CVE-2025-3619: Codecs 컴포넌트의 힙 버퍼 오버플로우 취약점으로, 치명적(Critical) 수준
- 악용 시 공격자는 임의 코드 실행, 사용자 계정 탈취, 민감 정보 유출 가능
- CVE-2025-3620: USB 기능에서 발생한 Use-After-Free 취약점으로, 높은(High) 위험도 평가
- 크롬 충돌 또는 후속 익스플로잇 공격에 활용 가능
- CVE-2025-3619: Codecs 컴포넌트의 힙 버퍼 오버플로우 취약점으로, 치명적(Critical) 수준
- 해당 취약점들은 각각 Elias Hohl과 @retsew0x01이라는 보안 연구자에 의해 제보되었으며, Google의 메모리 보안 도구(AddressSanitizer 등)를 통해 탐지됨
- 구글은 대부분의 사용자가 패치를 적용할 때까지 기술 세부사항은 제한 중
- Google은 Chrome 135.0.7049.95/.96 버전에서 2건의 메모리 관련 심각한 보안 취약점을 수정함
- 주요 기술 분석 및 보안 위협
- Race Condition 기반 취약점은 동기화 실패로 인해 예측 불가능한 메모리 상태를 유발하며, 메모리 훼손(Memory Corruption), 정보 유출, 악성코드 실행 가능성 존재
- Heap Buffer Overflow와 Use-After-Free는 전형적인 브라우저 익스플로잇 기법으로, 웹 기반 공격자가 샌드박스 탈출, 권한 상승 등의 복합 공격에 활용 가능
- 특히 Chrome과 Firefox는 웹 기반 인증, 세션 처리, 금융 거래에 널리 활용되는 브라우저로, 해당 취약점은 기업 보안 정책에도 영향을 미침
- 보안 권고
- Firefox 사용자는 반드시 137.0.2 이상으로 업데이트 필요
- Chrome 사용자는 Settings > Help > About Google Chrome 메뉴를 통해 135.0.7049.95/.96 이상으로 즉시 업데이트 필요
- EDR 및 SIEM 솔루션에서 브라우저 기반 권한 상승 또는 의심스러운 코드 실행 행위 탐지 룰 강화 필요
- 기업 내 브라우저 취약점 관리 체계 마련 및 소프트웨어 라이프사이클 내 보안 패치 정책 수립 필수
- 퍼징, 샌드박싱, 메모리 안전성 테스트 도구 도입 확대 필요
- 결론
- Firefox와 Chrome 모두 고위험 메모리 기반 취약점을 발견하고 신속히 패치함으로써 선제적 대응을 수행했음
- 하지만 브라우저 취약점은 공급망 공격, 자격 증명 탈취, 계정 탈환의 출발점이 될 수 있어 보안 관리자들의 선제적 점검과 취약점 대응 체계 마련이 필수적임
- 브라우저 보안 업데이트는 사용자 단위뿐 아니라 조직 단위로도 정책적 강제 이행이 요구됨
'Kant's IT > Vulnerability' 카테고리의 다른 글
| BPFDoor 기반 리눅스 서버 lateral movement 공격 기법 분석 (0) | 2025.05.28 |
|---|---|
| Tails 6.14.2 긴급 보안 패치 공개: 리눅스 커널 및 Perl 취약점 대응 (0) | 2025.05.28 |
| 윈도우 작업 스케줄러 취약점 분석 및 보안 시사점 (0) | 2025.05.28 |
| 오라클 2025년 4월 보안 패치 업데이트 요약 (1) | 2025.05.28 |
| 애플 iOS 제로데이 취약점 발견 및 긴급 보안 패치 분석 (0) | 2025.05.28 |