CVE-2026-11645 크롬 취약점

구글은 크롬 브라우저에서 활발히 악용되고 있는 또 다른 제로데이 취약점을 해결하기 위해 긴급 보안 업데이트를 발표했습니다. CVE-2026-11645로 추적되는 이 취약점은 2026년 초 이후 구글이 패치한 다섯 번째 크롬 제로데이 취약점입니다.

구글에 따르면, 이 취약점을 악용한 공격이 이미 실제 공격에 사용되고 있다는 증거가 확인되었습니다. 해당 문제는 익명으로 회사에 보고되었으며, 이후 안정적인 데스크톱 채널을 통해 수정 사항이 배포되었습니다.

현재 Windows(149.0.7827.102), macOS(149.0.7827.103) 및 Linux(149.0.7827.102)용 패치 버전이 전 세계적으로 배포되고 있습니다. 하지만 모든 Chrome 사용자가 업데이트를 받기까지는 며칠 또는 몇 주가 걸릴 수 있습니다.

수동으로 업데이트를 설치하지 않는 사용자를 위해 Chrome은 다음 브라우저 실행 시 사용 가능한 보안 수정 사항을 자동으로 확인하고 적용하도록 설계되어 있습니다.

CVE-2026-11645 내부: 위험한 V8 엔진 결함

이 심각한 취약점은 크롬의 V8 자바스크립트 엔진 내의 경계 외 읽기/쓰기 취약점에서 비롯됩니다. 공격자는 특수하게 조작된 HTML 페이지를 통해 이 결함을 악용할 수 있으며, 잠재적으로 브라우저의 샌드박스 환경 내에서 임의 코드 실행을 가능하게 합니다.

취약점을 성공적으로 악용하면 힙 손상이 발생하여 공격자가 의도된 범위를 벗어난 메모리에 접근할 수 있게 됩니다. 이러한 동작은 민감한 정보 노출, 브라우저 충돌 또는 추가적인 악의적 활동을 유발할 수 있습니다.

무단 메모리 접근 외에도, 이 취약점은 ASLR(주소 공간 레이아웃 무작위화)과 같은 보안 보호 조치를 우회하는 데 악용될 수 있으며, 다른 취약점과 결합될 경우 코드 실행 가능성을 높입니다.

사용자 보호를 위한 제한적 정보 공개

구글은 해당 취약점을 악용한 공격이 활발히 진행되고 있음을 인정했지만, 공격에 대한 기술적 세부 정보는 아직 공개하지 않았습니다. 크롬 사용자 중 상당수가 보안 업데이트를 설치할 때까지 버그 정보 및 관련 자료에 대한 접근이 제한될 수 있습니다.

해당 코드가 다른 프로젝트에서 사용되는 타사 라이브러리에 포함되어 있고, 해당 라이브러리에서 아직 자체적인 수정 사항을 구현하지 않은 경우에도 제한이 계속될 수 있습니다.

2026년 제로데이 위협 목록 증가

CVE-2026-11645는 올해 활발하게 악용된 여러 크롬 제로데이 취약점 중 하나입니다.

• CVE-2026-2441 – CSSFontFeatureValuesMap의 반복자 무효화 취약점으로, 2월에 패치되었습니다.

크롬, 제로데이 취약점과의 지속적인 싸움

이번 최신 긴급 업데이트는 최신 웹 브라우저를 대상으로 하는 제로데이 취약점의 지속적인 위협을 강조합니다. 구글은 2025년 한 해 동안 실제 공격에 악용된 크롬 제로데이 취약점 8건을 추가로 해결했습니다. 이러한 취약점 중 상당수는 정교한 사이버 스파이 활동 및 스파이웨어 캠페인 추적 전문팀인 구글 위협 분석 그룹(TAG)에서 발견했습니다.

지속적으로 발견되는 악용 가능한 취약점들은 진화하는 사이버 위협으로부터 사용자를 보호하기 위해 시의적절한 브라우저 업데이트와 신속한 취약점 해결이 얼마나 중요한지를 보여줍니다.