개요
Google 에서는 ChromeOS/ChromeOS Flex 제품에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
구글 ChromeOS/ChromeOS Flex 122.0.6045.214 (platform 버전 15753.38.0) 미만의 버전
구글 ChromeOS LTS 채널 114.0.5735.355(platform 버전: 15437.95.0) 미만의 버전
해결된 취약점
인증 우회를 통해 권한 없는 사용자가 관리 포털에 관리자를 생성할 수 있는 취약점 (CVE-2024-0204)
Linux 커널의 netfilter: nf_tables 구성 요소에 있는 use-after-free 취약점을 악용하여 발생하는 로컬 권한 상승 취약점 (CVE-2024-1086)
GPU 아키텍처 커널 드라이버의 use-after-free 취약점을 사용하면 권한이 없는 로컬 사용자가 부적절한 GPU 처리 작업을 수행하여 이미 해제된 메모리에 액세스 가능한 취약점 (CVE-2023-5427)
Foxit Software의 PDF Reader에서 발생하는 JavaScript 엔진의 use-after-free 취약점 (CVE-2023-28746)
120.0.6099.199 이전 Google Chrome의 WebGPU에서 use after free를 사용 시 발생하는 조작된 HTML 페이지를 통한 힙 손상 악용이 가능한 취약점 (CVE-2024-0225)
121.0.6167.139 이전 Google Chrome의 Peer Connection에서 use after free를 사용 시 발생하는 조작된 HTML 페이지를 통한 스택 손상 악용이 가능한 취약점 (CVE-2024-1059)
ktls 소켓을 대상으로 사용하여 function splice를 호출하는 방식에서 발생하는 Linux 커널의 전송 계층 보안 기능에서 범위를 벗어난 메모리 쓰기 취약점 (CVE-2024-0646)
취약점 패치
2024년 3월 5일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
구글 ChromeOS/ChromeOS Flex 122.0.6045.214 (platform 버전 15753.38.0) 버전
구글 ChromeOS LTS 채널 114.0.5735.355(platform 버전: 15437.95.0) 버전
참고 사이트
[1] Stable Channel Update for ChromeOS / ChromeOS Flex
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-chromeos.html
[2] CVE-2024-0204 Detail
https://nvd.nist.gov/vuln/detail/cve-2024-0204
[3] CVE-2024-1086 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-1086
[4] CVE-2023-5427 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-5427
[5] CVE-2023-28744 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-28744
[6] Long Term Support Channel Update for ChromeOS
https://chromereleases.googleblog.com/2024/03/long-term-support-channel-update-for.html
[7] CVE-2024-0225 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-0225
[8] CVE-2024-1059 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-1059
[9] CVE-2024-0646 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-0646