브라우저 익스플로잇의 환경은 2025년에 근본적으로 바뀌었습니다. 수년 동안 DOM(문서 객체 모델)의 "사용 후 무료"(UAF) 버그가 주를 이루었습니다. 그러나 Google의 MiraclePtr (원시 포인터 보호 메커니즘)의 광범위한 시행과 V8 샌드박스를 통해 성공적인 익스플로잇의 기준이 전례 없는 수준으로 높아졌습니다.
공격자, 특히 지능형 APT 그룹과 상업적 감시 벤더들은 이에 적응했습니다. 2025년의 익스플로잇은 단순한 충돌이 아니라 정교한 다단계 킬 체인이었습니다. 공격자들은 다음을 결합했습니다. V8 유형 혼동 를 사용하여 렌더러를 손상시키고, 렌더러를 손상시키기 위해 ANGLE 그래픽 레이어를 사용하여 권한 있는 GPU 액세스를 얻고, 남용된 Mojo IPC 로직을 사용하여 샌드박스에서 벗어날 수 있습니다.
이 문서에서는 다음 사항에 중점을 두고 이러한 벡터에 대한 하드코어 기술 분석을 제공합니다. CVE-2025-14174 (각도), CVE-2025-13223 (V8), 논리적 샌드박스 이스케이프 CVE-2025-2783를 통해 AI 기반의 자동화된 익스플로잇이 어떻게 이러한 복잡한 사슬을 사전에 탐지할 수 있는 유일한 방법이 되고 있는지 살펴보세요.
새로운 공격 표면: ANGLE 및 CVE-2025-14174
취약성: 메탈 백엔드에서 범위를 벗어난 쓰기
컴포넌트: 구성 요소: ANGLE(거의 네이티브 그래픽 레이어 엔진)
Impact: GPU 프로세스 코드 실행
V8이 헤드라인을 장식하는 동안 그래픽 스택은 브라우저 보안의 부드러운 밑바탕이 되었습니다. CVE-2025-141742025년 12월에 공개된 ANGLE-Chrome의 추상화 계층은 WebGL/WebGPU 호출을 네이티브 시스템 API(DirectX, OpenGL, Metal, Vulkan)로 변환하는 것을 목표로 합니다.
기술 역학
이 취약점은 특히 ANGLE이 WebGL 호출을 Apple의 금속 API를 사용합니다. 웹 페이지에서 texImage2D 호출을 호출하면 ANGLE은 텍스처를 GPU의 메모리 공간에 매핑하기 위해 메모리 보폭과 패딩을 계산해야 합니다.
CVE-2025-14174에서 다음 계산은 픽셀뎁스피치 (3D 텍스처에 사용됨)에 특정 패킹 정렬 파라미터(GL_UNPACK_ALIGNMENT)를 극단적인 텍스처 치수와 결합했습니다.
익스플로잇 프리미티브:
- 풍수 힙: 공격자는 GPU 프로세스 힙에 다음을 뿌립니다.
공유 메모리객체를 사용하여 메모리 청크를 정렬합니다. - 트리거: 특정 WebGL 드로우 호출이 오버플로를 트리거하여 공격자가 제어하는 텍스처 데이터를 할당된 버퍼의 범위를 초과하여 기록합니다.
- 부패: 오버플로로 인해
vtable인접한 힙 청크에 있는 C++ 객체의 포인터를 반환합니다. - 실행: GPU 프로세스가 해당 오브젝트를 파괴하거나 사용하려고 하면 공격자가 제어하는 함수 포인터를 호출합니다.
이것이 중요한 이유:
GPU 프로세스는 권한이 있는 대상입니다. 제한이 심한 렌더러 프로세스와 달리 GPU 프로세스는 커널 수준 드라이버 및 윈도우 시스템과 직접 상호 작용합니다. 여기서 RCE를 획득하면 여러 계층의 OS 완화 조치를 우회하는 경우가 많습니다.
진화한 클래식: V8 유형 혼동 (CVE-2025-13223)
취약점: JIT 최적화 결함
구성 요소: V8 엔진(터보팬)
Impact: 렌더러 RCE(내부 V8 샌드박스)
V8 샌드박스가 힙을 격리하려고 시도했음에도 불구하고, V8 유형 혼동 는 여전히 초기 읽기/쓰기 프리미티브를 얻기 위한 기본 방법입니다. CVE-2025-13223 는 TurboFan 최적화 파이프라인의 오류를 강조 표시합니다.
CheckMaps 실패
TurboFan은 객체 유형(맵)에 대한 가정을 통해 JavaScript를 최적화합니다. 코드가 정수 배열에 반복적으로 액세스하는 경우 TurboFan은 정수에 최적화된 머신 코드를 컴파일합니다. 안전을 보장하기 위해 CheckMaps 노드.
CVE-2025-13223은 중복성 제거 오류가 발생했습니다. 옵티마이저가 다음을 잘못 판단했습니다. CheckMaps 노드가 중복되어 이전 함수 호출의 부작용으로 인해 오브젝트의 맵이 변경될 수 있음에도 불구하고 이를 제거했습니다.
개념적 익스플로잇:
자바스크립트
`function vulnerable_opt(arr, trigger_obj) { // 1. 터보팬은 arr이 복식 배열임을 확인합니다. let x = arr[0];
// 2. 부작용: 이 함수는 'arr'를 오브젝트 배열로 변경합니다.
// 그러나 TurboFan은 이 호출 후 버그로 인해 맵 검사를 제거했습니다.
trigger_obj.toString();
// 3. 타입 혼동: TurboFan은 실수를 쓰지만 메모리는 이제 객체 포인터입니다.
// 포인터로 해석되는 제어된 실수 값(0x4141...)을 작성합니다.
arr[1] = 1.337e-308;
}`
V8 샌드박스 격파하기
2025년에는 addrOf 그리고 fakeObj 프리미티브만으로는 더 이상 충분하지 않습니다. V8 샌드박스. 이 보안 메커니즘은 V8 힙을 "가두어" 공격자가 메모리를 손상시킬 수 없도록 합니다. 내부 샌드박스. 스택의 반환 주소를 덮어쓰거나 케이지 외부의 파티션 할당자를 수정할 수 없습니다.
공격자들은 CVE-2025-13223을 무기화하기 위해 이 취약점을 사용하여 WasmInstanceObject. 샌드박스 내부에 있는 WebAssembly 인스턴스의 점프 테이블을 수정하여 실행을 JIT를 통해 컴파일된 임의의 셸코드로 리디렉션하여 효과적으로 임의의 코드 실행을 확보할 수 있습니다. 렌더러의 제약 조건 내에서.
탈출: 모조 IPC 로직 버그 (CVE-2025-2783)
취약성: 부적절한 권한 유효성 검사
컴포넌트: Mojo IPC(프로세스 간 통신)
Impact: 샌드박스 탈출(전체 시스템 손상)
렌더러가 손상된 상태에서도 공격자는 여전히 샌드박스에 갇혀 있습니다. 여기에서 Mojo IPC 가 들어옵니다. Mojo는 신뢰할 수 없는 렌더러와 권한이 있는 브라우저 프로세스 간의 통신을 위해 Chrome이 사용하는 고성능 IPC 시스템입니다.
CVE-2025-2783 는 메모리 손상 버그가 아니라 구현의 논리 결함이었습니다. 파일시스템 액세스 인터페이스.
인터페이스 정의 언어(IDL) 결함
Chrome은 다음을 사용하여 IPC 인터페이스를 정의합니다. .mojom 파일에 대한 취약점이 발견되었습니다. 이 취약점은 임시 파일에 대한 읽기 액세스 권한을 부여하는 방법에 존재했습니다.
C++
// 브라우저 프로세스의 취약한 로직 void OnRequestFileAccess(int32 render_frame_id, String file_path) { // 결함: 브라우저는 경로가 "안전한" 경로인지 확인했지만 (예: ../ 없음) // 렌더러가 파일 경로를 *소유*하고 있는지 확인하지 못했습니다. // 공격자가 프로필 데이터나 쿠키에 대한 접근을 요청할 수 있습니다. GrantAccess(file_path); }
익스플로잇 체인:
- 타협 렌더러: 네이티브 코드를 실행하려면 CVE-2025-13223을 사용하세요.
- 후크 모조: 메모리에서 Mojo 디스패치 테이블을 찾습니다.
- 메시지 위조: 원시 Mojo 메시지 호출을 구성합니다.
OnRequestFileAccess민감한 사용자 데이터를 가리키는 경로(예로그인 데이터SQLite DB). - 탈출: 브라우저 프로세스는 높은 권한으로 파일 읽기를 실행하기 때문에 OS 파일 권한을 우회하여 파일 핸들을 렌더러에 반환합니다.
이는 유효한 기능을 유효하지 않은 방식으로 사용하여 보안 경계를 넘나드는 브라우저 익스플로잇의 '로직 시대'를 나타냅니다.
탐지의 미래: AI 기반 원시 합성
이러한 체인의 복잡성, 특히 V8 힙 손상에서 안정적인 프리미티브, 그리고 Mojo 로직 남용으로의 도약은 사람의 수동 분석 속도를 앞지르고 있습니다. 퍼저는 로직 버그가 아닌 크래시를 찾는 데 능숙합니다.
운영 영역은 다음과 같습니다. Penligent.ai.
자동화된 익스플로잇 생성(AEG)
Penligent는 "취약점 스캐닝"에서 "자동화된 익스플로잇 생성"으로 패러다임을 전환합니다.
- 힙 레이아웃 합성: CVE-2025-14174(ANGLE)와 같은 취약점의 경우 펜리젠트의 AI 에이전트는 힙 할당자의 동작을 분석하여 오버플로 버퍼 옆에 대상 객체를 배치하는 데 필요한 정확한 할당(스프레이) 순서를 자동으로 결정합니다. 이는 "힙 풍수"라는 퍼즐을 수학적으로 해결합니다.
- IDL 논리 추론: Mojo 익스플로잇(CVE-2025-2783)의 경우, 펜리전트는 전체 Chrome 코드베이스의
.mojom정의. IPC 호출의 종속성 그래프를 작성하고 강화 학습(RL)을 사용하여 권한 상태 변경을 초래하는 유효한 메시지 시퀀스를 식별합니다.
원시적인 것부터 탈출까지 전체 킬 체인의 구성을 자동화함으로써 펜리젠트는 패치가 실제로 익스플로잇 경로를 차단하는지 아니면 단순히 증상만 수정하는지를 검증할 수 있는 유일한 신뢰할 수 있는 방법을 제공합니다.
결론 및 완화 전략
2025년 Chrome 제로데이 환경은 '강화' 시대가 작동하지만 공격자들이 로직 버그와 하위 시스템 악용에 더 취약하다는 것을 알려줍니다.
하드코어 방어 전략:
- 엄격한 사이트 격리: 보장
엄격한 원산지 격리를 활성화하면 렌더러가 손상된 경우에도 교차 출처 데이터 유출을 방지할 수 있습니다. - 크리티컬 영역에서 WebGL/WebGPU를 비활성화합니다: 보안 수준이 높은 내부 포털의 경우 엔터프라이즈 정책을 사용하여 하드웨어 가속을 비활성화하여 ANGLE 공격 표면을 효과적으로 무력화하세요(CVE-2025-14174).
- IPC 모니터링: 방어팀은 내부 IPC 트래픽 모니터링을 시작해야 합니다. EDR은 Mojo 메시지를 거의 보지 않지만 바로 이 지점에서 공격이 발생합니다.
전투는 스택과 힙에서 브라우저 아키텍처의 로직 게이트로 옮겨졌습니다. 보안 엔지니어는 이에 맞춰 툴링과 사고방식을 조정해야 합니다.
