0일

CVE-2025-6554는 구글 크롬 V8 자바스크립트 엔진의 유형 혼동 취약점입니다. 유형 혼동은 프로그램이 한 데이터 유형을 다른 데이터 유형으로 잘못 해석하여 공격자가 피해자의 시스템에서 임의의 코드를 실행할 수 있게 하는 안전하지 않은 메모리 작업으로 이어질 수 있는 일반적인 메모리 손상 취약점 클래스입니다.

이 취약점은 스토어-스토어 제거 최적화를 수행할 때 동적 인덱스 로딩을 잘못 처리하여 별칭 관계를 잘못 분류하고 중요한 스토어 작업을 잘못 제거하여 메모리 액세스 범위를 벗어나는 결과를 초래하는 V8 TurboFan 컴파일러에서 비롯됩니다. 공격자는 특수하게 조작된 HTML 페이지를 구성하여 사용자 액세스를 유도하고, 악성 JavaScript 코드 실행을 트리거하고, 이 취약점을 악용하여 원격 코드 실행 및 샌드박스 탈출을 달성하고, 궁극적으로 피해자의 디바이스를 완전히 제어할 수 있습니다.

2016년 이후 공개된 60개 이상의 제로데이 취약점(0데이)은 정부 기관용 상용 스파이웨어 공급업체와 관련이 있으며, Apple, Adobe, Google 등 여러 기업의 제품에도 취약점이 존재하여 언론인 및 정치적 반체제 인사 표적 공격 등의 공격 목적으로 사용되었습니다. 이 보고서는 2023년에 많은 수의 취약점이 활발하게 악용될 것이라고 지적합니다.

최근 Google은 HTTP/2 프로토콜 취약점 CVE-2023-44487을 발표했습니다.
공격자는 이 취약점을 이용하여 저비용의 대규모 공격(http2-rapid-reset-ddos-attack)을 실행할 수 있습니다. 공격자는 이 방법을 사용해 지난 8월부터 구글 클라우드 플랫폼 고객을 대상으로 공격을 펼쳤는데, 한 번의 공격에서 공격자는 1초에 최대 3억 9,800만 건의 요청을 발행했는데, 이는 초당 최대 요청 건수이기도 한 공격이다.

설명: cURL은 URL 구문을 사용하여 데이터를 전송하고 SSL, TLS, HTTP, FTP 및 SMTP를 포함한 다양한 네트워크 프로토콜을 지원하는 널리 사용되는 다기능 오픈 소스 명령줄 도구입니다. libcurl은…

Predator라는 스파이웨어는 Apple의 새로운 제로데이 취약점을 이용하여 전 이집트 국회의원을 표적으로 삼았습니다. 이번 공격의 발견은 특히 정치인과 공인에 대한 사이버 보안의 중요성을 더욱 강조합니다.