기술 설명
Chrome의 JavaScript 및 WebAssembly 엔진인 V8의 경계 외 읽기 및 쓰기 취약점으로 인해 원격 공격자가 제작된 HTML 페이지를 통해 브라우저 샌드박스 내에서 임의의 코드를 실행할 수 있습니다. Google이 활성 악용을 확인하고 Chrome 149.0.7827.102/103에서 패치를 배포했습니다. CISA는 2026년 6월 9일에 CVE를 KEV 카탈로그에 추가했습니다. V8 취약점은 브라우저 기반 LLM 인터페이스, WebGPU 모델 추론, Electron 기반 AI 코딩 에이전트(Cursor, Claude Code desktop)가 모두 Chromium/V8 위에서 실행되기 때문에 AI 인접 환경에 대한 우려가 높습니다.
공격 경로
피해자가 공격자 제어 또는 손상된 웹페이지를 방문하고, 제작된 JavaScript가 V8의 경계 외 메모리 접근을 유발하여 Chrome 렌더러 샌드박스 내에서 코드 실행을 달성합니다. 위협 행위자는 전체 디바이스 손상을 위해 샌드박스 탈출과 연계할 가능성이 높습니다.
영향받는 시스템
Windows/macOS의 Chrome 149.0.7827.103 이전 버전, Linux의 149.0.7827.102 이전 버전; Microsoft Edge, Brave, Opera, Vivaldi 및 아직 업데이트를 받지 않은 모든 Chromium 기반 브라우저 또는 Electron 애플리케이션(Electron으로 구축된 AI 코딩 에이전트 포함).
완화 방안
Chrome을 149.0.7827.102/.103으로 즉시 업데이트하고 자동 업데이트를 기다리지 마세요. 엔터프라이즈 팀은 정책을 통해 업데이트를 배포하고 실행 중인 프로세스가 다시 시작되었는지 확인해야 합니다. Electron 기반 AI 코딩 도구(Cursor, Claude Code desktop 앱, VS Code)는 자체 Chromium 빌드를 유지하며 독립적으로 업데이트해야 합니다 — 각 공급업체의 릴리스 노트를 확인하세요.