구글, 실제 악용된 새로운 크롬 제로데이 취약점 패치
Google은 야생에서 악용된 또 다른 Chrome 제로데이 취약점을 패치하기 위해 긴급 업데이트를 출시했으며, 이는 연초 이후 다섯 번째로 패치된 결함입니다.
Google은 CVE-2026-11645에 대한 익스플로잇이 야생에 존재한다는 것을 인지하고 있다”고 회사는 월요일 보안 권고문에서 밝혔습니다.
회사는 Stable Desktop 채널 사용자들을 위해 제로데이를 수정했으며, 패치된 버전은 익명 보안 연구원이 Google에 보고한 지 2주 후 전 세계 Windows(149.0.7827.102), Mac(149.0.7827.103), Linux(149.0.7827.102) 시스템에 순차적으로 배포되었습니다.
Google은 보안 업데이트가 모든 Chrome 사용자에게 도달하는 데 며칠 또는 몇 주가 걸릴 수 있다고 말했지만, BleepingComputer이 오늘 일찍 업데이트를 확인했을 때는 이미 즉시 적용 가능한 상태였습니다.
웹 브라우저를 수동으로 업데이트하고 싶지 않은 사용자는 Chrome이 자동으로 업데이트를 확인하고 다음 실행 시 설치하도록 신뢰할 수 있습니다.
이 고위험 제로데이 취약점(CVE-2026-11645)은 Chrome V8 JavaScript 엔진의 범위 초과 읽기·쓰기 결함에서 비롯되며, 원격 공격자는 조작된 HTML 페이지를 통해 웹 브라우저 샌드박스 내에서 임의 코드를 실행할 수 있습니다.
공격이 성공하면 힙 손상을 통해 메모리 버퍼를 넘어선 데이터에 접근할 수 있어 민감한 정보를 노출하거나 크래시를 일으킬 수 있습니다.
범위 초과 메모리 접근 외에도, 이제 패치된 제로데이 버그는 ASLR과 같은 보호 메커니즘을 우회하는 데 악용될 수 있어 다른 취약점을 통한 코드 실행이 더 쉬워집니다.
Google은 CVE-2024-0519 제로데이 익스플로잇이 공격에 사용된 사실을 인지하고 있다고 밝혔지만, 이 사건에 대한 추가 세부 사항은 아직 공개하지 않았습니다.
“버그 세부 정보와 링크에 대한 접근은 대다수 사용자가 패치를 적용할 때까지 제한될 수 있다”고 Google은 말했습니다. “또한 해당 버그가 타 프로젝트에서도 동일하게 의존하는 서드파티 라이브러리에 존재한다면, 아직 수정되지 않은 경우 제한을 유지할 것이다.”
연초 이후 Google은 공격에 악용된 네 가지 제로데이를 추가로 해결했습니다:
- CSSFontFeatureValuesMap(Chrome의 CSS 글꼴 기능 값 구현)에서 발생한 반복자 무효화 버그(CVE-2026-2441)로, Google은 이를 [2월 중순에 해결](https://www.bleepingcomputer.com/news/security/google-patches-first-chrome-zero