구글이 크롬 브라우저에서 발견된 심각한 제로데이 취약점(CVE-2025-5419)의 적극적 악용을 확인하고, 사용자 보호를 위해 긴급 보안 패치를 배포했습니다. 모든 사용자는 반드시 최신 버전으로 업데이트해야 합니다.
2025년 6월 3일 · 라비 락슈마난 (Ravie Lakshmanan)
브라우저 보안 / 취약점
구글(Google)이 월요일(3일), 크롬(Chrome) 브라우저의 세 가지 보안 취약점에 대한 긴급(out-of-band) 패치를 배포했습니다. 이 중 하나는 현재 실제 공격에 적극적으로 악용되고 있음이 보고됐습니다.
가장 심각한 이번 취약점은
CVE-2025-5419 (CVSS 점수: 8.8)
로, 크롬의 V8 JavaScript 및 WebAssembly 엔진에서 발생하는 out-of-bounds(경계 밖) 읽기 및 쓰기 취약점입니다.
“크롬 137.0.7151.68 버전 미만에서 V8의 out-of-bounds read/write로 인해 원격 공격자가 특수 제작한 HTML 페이지를 통해 힙(Heap) 손상 등의 공격에 노출될 수 있다.” (NIST 취약점 설명 바로가기)
이 취약점은 구글 위협 분석 그룹(Google Threat Analysis Group, TAG)의 클레망 르시뉴(Clement Lecigne)와 브누아 세븐스(Benoît Sevens)가 2025년 5월 27일 발견 및 보고했고, 다음날 곧바로 크롬의 전체 플랫폼(윈도우, macOS, 리눅스) 안정화 버전에 패치가 반영됐습니다.
구글은 다음과 같이 밝혔습니다.
“CVE-2025-5419의 악성 익스플로잇(공격 코드)이 이미 실제 공격에 사용되고 있음을 인지하고 있습니다.” (출처: 공식 블로그)
관례상, 구글은 취약점을 악용한 실제 공격과 공격자 정체에 대한 자세한 정보는 공개하지 않습니다. 이는 패치가 최대한 빠르게 사용자에게 적용되도록 하고, 추가적인 공격자들이 악용하지 않도록 하기 위해서입니다.
CVE-2025-5419는 구글이 올해 패치한 두 번째 "적극적 악용 제로데이" 취약점입니다. 첫 번째는 2025년 3월 패치된 CVE-2025-2783(CVSS 8.3점)으로, 카스퍼스키에 의해 러시아 내 기업 타깃 공격으로 무기화된 사례가 보고된 바 있습니다.
만약 Microsoft Edge, Brave, Opera, Vivaldi 등 Chromium 기반 브라우저를 사용 중이라면, 해당 브라우저에서 별도 패치가 제공되는 즉시 반드시 적용해야 합니다.
이 기사가 도움이 되었나요?
더 많은 독점 사이버보안 소식을 보려면 트위터(@thehackersnews)와 링크드인을 팔로우하세요.
