- HJ's Security Note/
- 보안 시사 분석/
- 2025/
- Week 51/
- Microsoft Edge 브라우저 보안 취약점 (CVE-2025-14372, CVE-2025-14373)/
Microsoft Edge 브라우저 보안 취약점 (CVE-2025-14372, CVE-2025-14373)
목차
Microsoft Edge 브라우저 보안 취약점 (CVE-2025-14372, CVE-2025-14373) #
기사 정보 #
- 출처: Microsoft Security Update Guide, ZAM, CERT-FR
- 작성일: 2025-12-11
- 링크: https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
- 카테고리: 취약점/브라우저보안/패치관리
핵심 요약 #
2025년 12월, Microsoft Edge 브라우저에서 V8 엔진의 use-after-free 취약점(CVE-2025-14372)과 Blink 엔진의 XSS 취약점(CVE-2025-14373)이 발견되어 패치되었다. 이 중 CVE-2025-14372는 원격 코드 실행이 가능한 심각한 취약점으로 분류되었다.
사건/이슈 배경 #
무슨 일이 일어났는가? #
2025년 12월 11일, Microsoft는 Edge 브라우저(버전 143.0.3650.80)에 대한 보안 업데이트를 발표하며 두 가지 주요 취약점을 공개했다.
CVE-2025-14372: Chromium Password Manager의 Use-After-Free 취약점
- CVSS 점수: 8.8 (높음)
- 공격 벡터: 네트워크를 통한 원격 공격 가능 (AV:N)
- 사용자 상호작용 필요 (UI:R): 악성 웹페이지 방문 시 공격 가능
- CWE-416: Use-After-Free 메모리 손상 취약점
CVE-2025-14373: Toolbar의 부적절한 구현으로 인한 XSS 취약점
- CVSS 점수: 6.1 (중간)
- 공격 유형: 저장형 XSS(Cross-Site Scripting)
- CWE-79: 웹페이지 생성 중 입력값의 부적절한 중화
두 취약점 모두 Microsoft Edge가 기반으로 하는 Chromium 오픈소스 프로젝트에서 발생했으며, Google Chrome에도 동일하게 영향을 미쳤다.
누가 관련되었는가? #
- 취약점 발견자: CVE-2025-14372는 Google 위협 분석 그룹(TAG)에서 발견, CVE-2025-14373은 Microsoft 버그 바운티 프로그램을 통해 독립 연구원이 발견
- 영향 받은 대상: Microsoft Edge 버전 143.0.3650.80 이전 버전 사용자, Google Chrome 143 시리즈 이전 버전 사용자
- 기타 관련 당사자: Chromium 프로젝트, CERT-FR(프랑스 보안평가대응팀), CISA(미국 사이버보안 및 인프라 보안국)
원인 분석 #
기술적 원인 #
CVE-2025-14372 (Use-After-Free) Use-After-Free는 프로그램이 메모리를 해제(free)한 후에도 해당 메모리를 참조(use)할 때 발생하는 메모리 손상 취약점이다. 구체적인 발생 과정:
- 브라우저 엔진(V8)이 특정 객체를 메모리에 할당
- 해당 객체가 더 이상 필요하지 않아 메모리 해제
- 그러나 프로그램의 다른 부분에서 여전히 해당 메모리 주소를 가리키는 포인터를 보유
- 해제된 메모리를 다시 참조하면서 예측 불가능한 동작 발생
- 공격자가 이를 악용하여 임의의 코드 실행 가능
Password Manager 컴포넌트에서 발생했으며, 복잡한 객체 생명주기 관리와 비동기 메시지 처리 과정에서 타이밍 이슈로 인해 발생한 것으로 추정된다.
CVE-2025-14373 (XSS) Blink 렌더링 엔진의 Toolbar 구현에서 사용자 입력을 적절히 검증하지 않아 발생했다. 공격자가 악성 JavaScript 코드를 삽입하면, 이것이 다른 사용자의 브라우저에서 실행될 수 있는 저장형 XSS 취약점이다.
관리적/절차적 원인 #
기사에서는 Microsoft나 Chromium 프로젝트의 개발 프로세스상 문제점에 대한 구체적인 언급은 없었다. 다만 Chromium과 같은 대규모 오픈소스 프로젝트에서 메모리 안전성 취약점은 지속적으로 발견되는 문제이며, 이는 C/C++로 작성된 브라우저 엔진의 구조적 한계와 관련이 있다.
인적 원인 #
개발자의 실수나 의도적인 백도어 삽입 등에 대한 언급은 없었다. 일반적인 소프트웨어 개발 과정에서 발생하는 코딩 오류로 보인다.
영향 및 파급효과 #
직접적 영향 #
CVE-2025-14372의 위험성:
- 원격 코드 실행(RCE): 공격자가 사용자의 시스템에서 임의의 코드를 실행할 수 있음
- 시스템 장악 가능: 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 모두 심각한 영향
- 악성 웹페이지 방문만으로 공격 가능
- 실제 공격 사례(exploit in the wild) 발견: Chromium 프로젝트에서 실제 악용 사례를 확인했으며, GitHub에 개념 증명(PoC) 코드가 게시됨
CVE-2025-14373의 위험성:
- 악성 스크립트 지속 삽입: 세션 쿠키 탈취, 사기성 사이트 리디렉션, 키 입력 캡처 등 가능
- 기업 환경에서 특히 위험: Edge 브라우저를 사용하는 기업의 민감한 데이터 처리 시 위협
간접적 영향 #
- Microsoft Edge와 Google Chrome 사용자 수백만 명이 잠재적 위험에 노출
- 패치를 적용하지 않은 시스템은 지속적인 공격 대상이 될 수 있음
- Chromium 기반 다른 브라우저(Brave, Opera, Electron 앱 등)도 영향을 받을 수 있음
예상 피해 규모 #
구체적인 피해 통계는 공개되지 않았다. 다만 CVE-2025-14372에 대한 실제 공격 사례가 확인되었다는 점에서, 패치 전까지 일정 규모의 피해가 발생했을 가능성이 있다.
예방 및 대응 방안 #
사전 예방 방법 #
- 자동 업데이트 활성화: Microsoft Edge의 자동 업데이트 기능을 활성화하여 최신 보안 패치가 즉시 적용되도록 설정
- 버전 확인 및 수동 업데이트: edge://settings/help 에서 현재 버전 확인 후 143.0.3650.80 이상으로 업데이트
- 향상된 개인정보 보호 모드 활성화: 일시적 완화 조치로 추가 보호 계층 제공
- 불필요한 확장 프로그램 비활성화: 공격 표면 축소
- Windows Defender 취약점 방지 기능 사용: 메모리 손상 공격에 대한 추가 방어
사고 발생 시 대응 방안 #
- 즉시 패치 적용: 취약점이 공개된 즉시 보안 업데이트 적용
- 의심스러운 활동 모니터링: 브라우저 충돌, 비정상적인 네트워크 활동, 예기치 않은 프로세스 실행 등 모니터링
- EDR(Endpoint Detection and Response) 활용: 렌더러 프로세스 충돌 및 이상 징후 탐지
- 임시 완화 조치: 패치 적용이 즉시 불가능한 경우, 의심스러운 웹사이트 방문 자제
재발 방지 대책 #
- 정기적인 패치 관리 프로세스 수립: 매월 정기적으로 보안 업데이트 확인 및 적용
- 기업 환경에서의 체계적 패치 관리:
- 패치 배포 전 테스트 환경에서 검증
- 고위험 시스템(인터넷 접속, 관리자 계정 등)부터 우선 적용
- BLBeacon 레지스트리 값과 msedge.exe 파일 버전 자동 수집 도구 활용
- Chromium 기반 런타임 관리: Electron, WebView2, 키오스크 장치 등에 내장된 Chromium도 업데이트 일정 확인
- 메모리 안전 언어로의 전환 검토: 장기적으로 Rust 등 메모리 안전 언어 사용 확대
개인 인사이트 #
배운 점 #
Chromium 생태계의 취약점 전파: Edge는 Chromium 기반이기 때문에, Chromium에서 발견된 취약점은 자동으로 Edge에도 영향을 미친다. 오픈소스의 장점(빠른 혁신, 표준 준수)과 단점(공통 취약점 전파)을 동시에 보여준다.
Use-After-Free의 위험성: 메모리 손상 취약점은 브라우저 같은 복잡한 소프트웨어에서 계속 발견되며, 이는 C/C++의 수동 메모리 관리에서 기인한다. 이것이 Google이 Chrome에 Rust를 도입하는 이유다.
패치 관리의 중요성: CVE-2025-14372는 실제 공격에 악용되고 있었다. 이는 제로데이 취약점이 발견되면 즉시 패치를 적용해야 함을 의미한다.
다운스트림 벤더의 역할: Microsoft는 Chromium의 취약점을 수정하는 것이 아니라, Google이 수정한 패치를 Edge에 통합(ingest)한다. 따라서 Chromium 프로젝트의 보안이 곧 Edge의 보안이다.
느낀 점 #
브라우저는 현대 컴퓨팅 환경에서 가장 많이 사용되는 소프트웨어 중 하나임에도, 여전히 심각한 보안 취약점이 계속 발견된다는 점이 놀랍다. 특히 use-after-free 같은 메모리 안전성 문제는 수십 년간 알려진 문제임에도 여전히 해결되지 않고 있다.
또한 일반 사용자는 이러한 취약점의 존재조차 모른 채 브라우저를 사용하고 있으며, 자동 업데이트가 활성화되지 않은 경우 장기간 위험에 노출될 수 있다는 점이 우려스럽다.
관련 자료 #
- Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide/
- Chromium Security Release Notes
- CERT-FR Advisory CERTFR-2025-AVI-1103
- CISA Known Exploited Vulnerabilities Catalog
분석일: 2025-12-21
키워드: #브라우저보안 #취약점 #UseAfterFree #XSS #패치관리 #Chromium