개요
Microsoft (https://www.microsoft.com) 에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
Microsoft Edge for Android 122.0.2365.92 이전 버전
Microsoft Edge 122.0.2365.52, 122.0.2365.63 (Chromium-based) 이전 버전
해결된 취약점
Google Chrome의 Blink에서 범위를 벗어난 메모리 액세스를 허용 시에 원격 공격자가 조작된 HTML 페이지를 통해 범위를 벗어난 메모리 액세스를 수행할 수 있는 취약점 (CVE-2024-1669)
Microsoft Edge(Chromium 기반) 스푸핑 취약점 (CVE-2024-26188)
Microsoft Edge(Chromium 기반) 정보 공개 취약점 (CVE-2024-21423)
Google Chrome의 V8 유형 혼동으로 인해 원격 공격자가 조작된 HTML 페이지를 통해 힙을 손상시킬 수 있는 취약점 (CVE-2024-1939)
Google Chrome에서 사이트 격리를 부적절하게 구현하면 원격 공격자가 조작된 HTML 페이지를 통해 콘텐츠 보안 정책을 우회할 수 있는 취약점 (CVE-2024-1671)
Microsoft Edge(Chromium 기반) 정보 공개 취약점 (CVE-2024-26192)
Android용 Microsoft Edge에서 발생하는 스푸핑 취약점 (CVE-2024-26167)
Google Chrome에서 콘텐츠 보안 정책을 부적절하게 구현 시 원격 공격자가 조작된 HTML 페이지를 통해 콘텐츠 보안 정책을 우회할 수 있는 취약점 (CVE-2024-1672)
Google Chrome 내비게이션의 부적절한 구현 시 원격 공격자가 조작된 HTML 페이지를 통해 보안 UI를 스푸핑할 수 있는 취약점 (CVE-2024-1676)
Google Chrome 다운로드에서 정책 시행이 충분하지 않아 원격 공격자가 조작된 HTML 페이지를 통해 파일 시스템 제한을 우회할 수 있는 취약점 (CVE-2024-1675)
Google Chrome의 Mojo에서 use after free를 사용하면 원격 공격자가 조작된 HTML 페이지를 통해 힙을 손상시킬 수 있는 취약점 (CVE-2024-1670)
Google Chrome 내비게이션의 부적절한 구현을 통해 원격 공격자가 조작된 HTML 페이지를 통해 탐색 제한을 우회할 수 있는 취약점 (CVE-2024-1674)
Google Chrome의 접근성에서 use after free를 사용하면 렌더러 프로세스를 손상시킨 원격 공격자가 잠재적으로 특정 UI 제스처를 통해 힙 손상을 악용할 수 있는 취약점 (CVE-2024-1673)
취약점 패치
CVE-2024-26167
Microsoft Edge for Android 122.0.2365.92 버전
CVE-2024-1669, CVE-2024-26192, CVE-2024-26188, CVE-2024-21423, CVE-2024-1676, CVE-2024-1675, CVE-2024-1674, CVE-2024-1673, CVE-2024-1672, CVE-2024-1671, CVE-2024-1670, CVE-2024-1669
Microsoft Edge (Chromium-based) 122.0.2365.52 버전
CVE-2024-1939
Microsoft Edge (Chromium-based) 122.0.2365.63 버전 (CVE-2024-1939)
참고 사이트
[1] 보안 업데이트 가이드
https://msrc.microsoft.com/update-guide/ko-kr/
[2] 2024년 3월 보안 업데이트
https://msrc.microsoft.com/update-guide/ko-kr/releaseNote/2024-Mar
[3] Android용 Microsoft Edge 스푸핑 취약성
https://msrc.microsoft.com/update-guide/ko-kr/vulnerability/CVE-2024-26167
[4] Microsoft Edge(Chromium 기반) 정보 공개 취약성
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26192
[5] Microsoft Edge(Chromium 기반) 스푸핑 취약성
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26188
[6] Android용 Microsoft Edge 스푸핑 취약성
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26167?ref=securitricks.com
[7] Microsoft Edge(Chromium 기반) 정보 공개 취약성
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21423
[8] Chromium: CVE-2024-1676 Inappropriate implementation in Navigation
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1676
[9] Chromium: CVE-2024-1675 Insufficient policy enforcement in Download
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1675
[10] Chromium: CVE-2024-1674 Inappropriate implementation in Navigation
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1674
[11] Chromium: CVE-2024-1673 Use after free in Accessibility
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1673
[12] Chromium: CVE-2024-1672 Inappropriate implementation in Content Security Policy
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1672
[13] Chromium: CVE-2024-1671 Inappropriate implementation in Site Isolation
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1671
[14] Chromium: CVE-2024-1670 Use after free in Mojo
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1670
[15] Chromium: CVE-2024-1669 Out of bounds memory access in Blink
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1669
[16] Chromium: CVE-2024-1939 Type Confusion in V8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-1939