취약점 설명
CVE-2025-6554는 구글 크롬의 V8 엔진의 유형 혼동 취약점입니다. 버전 138.0.7204.96 이전의 Google Chrome에서 원격 공격자는 악성 HTML 페이지를 조작하여 임의의 읽기 및 쓰기 작업을 수행할 수 있습니다.
취약점이 영향을 미치는 버전
구글 크롬 버전이 138.0.7204.96보다 낮습니다.
취약점 기술 세부 정보
CVE-2025-6554는 V8 자바스크립트 및 웹어셈블리 엔진의 유형 혼동 취약점입니다. 유형 난독화 취약점은 악용되어 임의의 코드 실행 및 프로그램 충돌로 이어질 수 있는 예기치 않은 소프트웨어 동작을 유발할 수 있으므로 심각한 결과를 초래할 수 있습니다.
취약성 영향 표면 평가
이 취약점은 제로데이 익스플로잇으로, 공격자가 수정 사항이 나오기 전에 익스플로잇을 시작한다는 의미입니다. 실제 공격에서 해커는 이러한 취약점을 통해 스파이웨어를 설치하거나, 드라이브 바이 다운로드를 시작하거나, 사용자가 악성 웹사이트를 열도록 유도하여 유해한 코드를 조용히 실행할 수 있습니다.
이 취약점은 구글의 위협 분석 그룹(TAG)의 클레망 르시뉴가 2025년 6월 25일에 발견하여 보고한 것으로, 국가가 후원하는 공격자나 감시 작전과 관련된 고도로 표적화된 공격에 사용되었을 가능성이 있다고 합니다.TAG는 일반적으로 정부 후원 공격과 같은 심각한 위협을 탐지하고 조사하는 기관입니다.
또한 Google은 다음 날 모든 플랫폼의 안정 릴리스 채널로 푸시된 구성 변경을 통해 이 문제가 완화되었다고 밝혔습니다. 일반 사용자에게는 아직 위협이 널리 퍼져 있지 않을 수 있지만, 특히 민감하거나 가치가 높은 데이터를 다루는 경우에는 긴급하게 패치를 적용해야 합니다.
CVE-2025-6554는 CVE-2025-2783, CVE-2025-4664, CVE-2025-5419에 이어 구글이 올해 초부터 해결한 네 번째 Chrome 제로데이 취약점입니다. 하지만 CVE-2025-4664가 악의적으로 악용되었는지 여부는 불분명하다는 점에 유의할 필요가 있습니다.
취약성 해결 권장 사항
잠재적인 위협으로부터 보호하려면 Chrome을 Windows용 138.0.7204.96/.97, macOS용 138.0.7204.92/.93, Linux용 138.0.7204.96으로 업데이트하는 것이 좋습니다.
브라우저가 최신 버전인지 확실하지 않은 경우 설정 > 도움말 > Google 크롬 정보로 이동하면 자동으로 최신 업데이트가 실행됩니다. -최신 업데이트가 자동으로 실행됩니다. 여러 엔드포인트를 관리하는 조직과 IT 팀의 경우 자동 패치 관리를 활성화하고 브라우저 버전 규정 준수를 모니터링하는 것이 중요합니다.
Microsoft Edge, Brave, Opera, Vivaldi 등 다른 Chromium 기반 브라우저 사용자도 수정 사항이 제공되면 바로 적용하는 것이 좋습니다.