구글 크롬 개발팀이 9월 27일 보안 취약성을 해결하기 위해 데스크톱 버전 크롬을 업데이트했다. 이번 업데이트에서 수정된 취약점에는 비디오 코덱인 VP8 관련 제로데이 취약점이 포함되어 있으며 이미 이 취약점이 악용된 사례도 확인됐다고 한다.
구글이 내놓은 크롬 보안 업데이트에는 모두 10가지 보안 패치가 포함되어 있으며 그 중에서도 중요도가 높은 건 CVE-2023-5217이라는 제로데이 취약점이 있다. CVE-2023-5217은 오픈소스 비디오 코덱 라이브러리인 ‘libvpx’를 통합한 VP8 인코딩으로 버퍼 오버플로가 발생한다는 것이다. CVE-2023-5217을 발견한 건 구글이 운영하는 위협분석팀 TAG(Threat Analysis Group)다. 이미 CVE-2023-5217은 상용 감시 소프트웨어 벤더에 의해 악용되고 있으며 구글도 실제로 CVE-2023-5217을 이용한 익스플로잇 존재를 인정하고 있다.
이 취약점은 VP8이 인코더 생성 뒤 스레드 수 변경을 허용해 발생한다고 한다. 또 VP8 제로데이 취약점 영향은 크롬에만 그치지 않고 모질라가 개발하는 파이어폭스 데스크톱 버전이나 안드로이드 버전에서도 취약성 보안 업데이트가 이뤄졌다.
이번 취약점은 VP8에 내장된 ‘libvpx’가 원인으로 보이지만 보안 기업 관게자는 패키지가 이에 의존한다는 사실이 반드시 취약하다는 의미는 아니라며 해당 취약점은 VP8 인코딩과 관련이 있으며 디코딩에만 ‘libvpx’를 사용할 경우 걱정할 필요가 없다고 밝혔다. 하지만 크롬이나 파이어폭스 외에도 이번 제로데이 취약성 영향을 받는 패키지가 있을지 모른다고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.