기술 설명
Chrome의 JavaScript 및 WebAssembly 엔진인 V8의 범위를 벗어난 읽기 및 쓰기 취약점으로 인해 원격 공격자는 제작된 HTML 페이지를 통해 브라우저 샌드박스 내에서 임의 코드를 실행할 수 있습니다. Google은 활발한 악용을 확인했으며 Chrome 149.0.7827.102/103에서 패치를 제공했습니다. CISA는 2026년 6월 9일 CVE를 KEV 카탈로그에 추가했습니다. V8 취약점은 브라우저 기반 LLM 인터페이스, WebGPU 모델 추론 및 Electron 기반 AI 코딩 에이전트(Cursor, Claude Code 데스크톱)가 모두 Chromium/V8 위에서 실행되므로 AI 인접 환경에서 우려가 높습니다.
공격 경로
피해자가 공격자 제어 또는 손상된 웹페이지를 방문하면 제작된 JavaScript가 V8의 범위를 벗어난 메모리 접근을 트리거하여 Chrome 렌더러 샌드박스 내에서 코드 실행을 달성합니다. 위협 행위자는 완전한 장치 손상을 위해 샌드박스 탈출을 함께 연결할 가능성이 높습니다.
영향받는 시스템
Windows/macOS의 149.0.7827.103 이전 버전 및 Linux의 149.0.7827.102 이전의 Google Chrome; 또한 Microsoft Edge, Brave, Opera, Vivaldi 및 아직 업데이트를 받지 않은 모든 Chromium 기반 브라우저 또는 Electron 애플리케이션 — Electron에 기반한 AI 코딩 에이전트 포함.
완화 방안
Chrome을 149.0.7827.102/.103으로 즉시 업데이트하고 자동 업데이트를 기다리지 마십시오. 엔터프라이즈 팀은 정책을 통해 업데이트를 푸시하고 실행 중인 프로세스가 다시 시작되었는지 확인해야 합니다. Electron 기반 AI 코딩 도구(Cursor, Claude Code 데스크톱 앱, VS Code)는 자체 Chromium 빌드를 유지하므로 독립적으로 업데이트해야 합니다 — 각 공급업체의 릴리스 노트를 확인하십시오.