# Chrome 윈/맥 버전의 CSS 제로데이 취약점 업데이트 배포

> Clean Markdown view of GeekNews topic #26823. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=26823](https://news.hada.io/topic?id=26823)
- GeekNews Markdown: [https://news.hada.io/topic/26823.md](https://news.hada.io/topic/26823.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-02-20T04:32:57+09:00
- Updated: 2026-02-20T04:32:57+09:00
- Original source: [chromereleases.googleblog.com](https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html)
- Points: 3
- Comments: 2

## Summary

**크롬 계열 브라우저의 즉시 업데이트가 필요**합니다. **CVE-2026-2441**로 식별된 **CSS 제로데이 취약점**을 수정했는데요. CSS 내부에서 폰트 처리를 하다가 무효화된 주소를 계속 사용하는 Use-After-Free가 일어나면서 시스템 장악까지 가능해지는 취약점이라, 그냥 웹사이트를 여는것만으로도 문제가 발생합니다. 심지어 이미 이 취약점을 악용하는 데가 있었다고해서 CVSS 8.8 High의 높은 위험도 취약점으로 분류 되었습니다. 자동 업데이트를 기다리지 말고 즉시 최신 버전으로 갱신하는 것을 권장합니다.

## Topic Body

- Google이 **크롬 데스크톱 버전의 스테이블 채널 업데이트**를 릴리즈, **CVE-2026-2441**로 식별된 **CSS 관련 제로데이 취약점**이 포함되어 있음  
- 구글은 이 취약점이 **실제 공격에 악용되고 있음(in the wild)** 을 확인했으며, 사용자들은 **즉시 최신 버전으로 업데이트**해 보안 위험을 최소화해야 함  
- 업데이트는 Windows, macOS, Linux용 Chrome에 순차적으로 배포 중  
  
---  
  
### Chrome 안정 채널 업데이트 개요  
- Google은 데스크톱용 Chrome의 **안정 채널(Stable Channel)** 업데이트를 발표  
  - 윈/맥은 145.0.7632.75/76, 리눅스는 144.0.7559.75  
  - 업데이트는 Windows, macOS, Linux 플랫폼에 배포됨  
  - 자동 업데이트를 통해 순차적으로 적용 예정  
  
### 보안 취약점 CVE-2026-2441  
- 이번 버전에는 **[CVE-2026-2441](https://issues.chromium.org/issues/483569511)** 로 지정된 보안 취약점이 포함  
  - **CSS 처리 과정에서 발생하는 제로데이 취약점**으로 확인  
  - Google은 이 취약점이 **실제 공격에 악용되고 있음**을 명시  
  
### 사용자 권장 조치  
- Google은 모든 사용자가 **Chrome을 최신 버전으로 즉시 업데이트**할 것을 권장  
  - 자동 업데이트가 완료되지 않은 경우, 수동으로 업데이트 가능  
  - 최신 버전 적용 시 해당 취약점으로부터 보호 가능  
  
### 배포 및 지원  
- 업데이트는 **안정 채널을 통해 단계적으로 배포**  
  - 일부 사용자는 업데이트가 적용되기까지 시간이 소요될 수 있음  
- Chrome 팀은 추가적인 보안 개선과 안정성 향상을 지속적으로 진행 중

## Comments



### Comment 51460

- Author: xguru
- Created: 2026-02-20T11:15:12+09:00
- Points: 1

업데이트 했는데 이미 맥은 145.0.7632.110 까지 버전이 올라갔네요.   
  
CSS 내부에서 폰트 처리를 하다가 무효화된 주소를 계속 사용하는 Use-After-Free가 일어나면서 시스템 장악까지 가능해지는 취약점이라, 그냥 웹사이트를 여는 것만으로도 가능합니다. 심지어 이미 이 취약점을 악용하는 데가 있었다고.

### Comment 51434

- Author: neo
- Created: 2026-02-20T04:32:57+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47062748) 
- Google Chromium의 **CSS에서 use-after-free 취약점**이 발견되었음  
  악성 HTML 페이지를 통해 원격 공격자가 힙 손상을 유발할 수 있는 문제로, Chrome뿐 아니라 Edge, Opera 등 Chromium 기반 브라우저 전반에 영향을 줄 수 있음  
  꽤 심각한 문제로 보이며, 연구자가 받은 **버그 바운티 금액**이 궁금함
  - 2만 달러 이상은 아닐 것 같음  
    심각한 취약점을 찾고 재현 가능한 **익스플로잇**을 만드는 데 드는 노력을 생각하면, 보상금이 지나치게 낮다고 느낌
  - Firefox는 영향을 받지 않는 것 같음
  - Electron 앱들도 영향을 받을 가능성이 있음  
    대부분 Chrome 버전을 고정(pinning)해두기 때문임
  - 실제로 의미 있는 공격이 되려면 **sandbox escape**가 필요함  
    하지만 “wild에서 발견됨”이라는 건 이미 sandbox escape까지 포함된 공격 체인이 존재한다는 뜻일 수도 있음  
  - use-after-free를 여전히 가볍게 여기는 분위기가 문제라고 생각함  
    21세기 시스템 언어에서 이런 버그를 없애지 못하는 건 부끄러운 일임

- Chromium/Blink 코드베이스의 **어두운 구석**에는 아직도 이런 버그들이 숨어 있을 것 같음  
  이런 핵심 프로젝트라면 전담 인력을 두고 코드 전체를 지속적으로 검증해야 함  
  스마트 냉장고 연동 같은 기능보다 이런 보안 강화가 훨씬 가치 있는 투자라고 생각함
  - Chromium은 이미 **공격적인 fuzzing**을 수행하고 있음  
    충분히 강력한 퍼저라면 도달하지 못하는 영역은 거의 없다고 봄

- “Use after free in CSS”라는 표현이 좀 웃김  
  - 아마 **CSS 파서나 CSSOM** 쪽을 의미하는 것 같음
  - 왜 그런 표현을 썼는지 궁금함

- 이 취약점이 실제로 어떤 영향을 주는지 잘 모르겠음  
  샌드박스 탈출이나 XSS가 없다면 거의 무해해 보이는데, [PoC 코드](https://github.com/huseyinstif/CVE-2026-2441-PoC)를 보면  
  렌더러 프로세스 내 임의 코드 실행, **정보 유출**, 쿠키·세션 탈취, DOM 조작, 키로깅 등 다양한 공격이 가능하다고 함
  - 브라우저 공격은 보통 두 단계로 이루어짐  
    먼저 렌더러 버그로 샌드박스 내 임의 코드 실행을 얻고, 그다음 **sandbox escape**로 완전한 시스템 권한을 얻는 구조임  
    이 취약점은 그 첫 단계에 해당하며, 이미 실제 공격에 쓰였다면 두 번째 단계도 존재할 가능성이 높음

- 여전히 이런 메모리 취약점이 나온다는 게 놀라움  
  메모리 안전 언어처럼 **검증된 바이너리**를 만드는 도구들이 있지 않나 싶음  
  CSS도 이제 변수, 스코프, 전처리기 기능이 늘어나면서 복잡해졌고, “no-script”처럼 “no-style” 확장도 필요할지도 모르겠음  
  이번 보고서가 단순한 실수인지, 다단계 공격 체인인지 궁금함
  - 그런 도구들이 없진 않지만, 이미 Chromium은 가능한 모든 **sanitizer와 fuzzing**을 활용 중임  
    문제는 테스트 커버리지임. 코드베이스가 워낙 방대해서 완전한 커버리지를 확보하기 어렵고, 그 틈에서 이런 취약점이 생김
  - “no-style”은 현실적으로 불가능함  
    CSS는 웹의 핵심이라 제거하면 사이트가 거의 깨짐  
    대신 **격리 실행(isolation)** 방식이 대안이 될 수 있음  
    브라우저 세션을 원격 서버에서 스트리밍하면, 제로데이가 터져도 로컬이 아닌 원격 인스턴스만 영향을 받음  
    완벽하진 않지만 공격면을 좁히는 **방어 심층화** 전략임

- Chromium 팀이 사용하는 보안 도구 목록에 AddressSanitizer, MemorySanitizer, libFuzzer 등이 언급되었는데, **OSS-Fuzz**가 빠져 있는 게 흥미로움  
  - OSS-Fuzz는 자체 퍼저가 아니라, 위에 언급된 **sanitizer와 퍼징 엔진을 통합**해 사용하는 플랫폼임

- 패치가 배포된 후 **PoC 코드**를 보고 싶음  
  - 이미 [GitHub에 공개된 PoC](https://github.com/huseyinstif/CVE-2026-2441-PoC)가 있음

- Chromium을 **Rust로 다시 작성**해야 한다는 농담이 나옴  
  - 실제로 Blink 엔진의 일부는 **GC 기반 C++** 로 다시 작성되어 비슷한 효과를 노렸음  
  - 차라리 Mozilla의 **Servo 엔진**에 투자하는 게 낫다는 의견도 있음

- CVE를 찾아보니 [이슈 페이지](https://issues.chromium.org/issues/483569511)가 존재하지만  
  “Access is denied”로 표시되어 있음  
  로그인해야 접근 가능한 비공개 상태로 보임