포스팅 내용

국내외 보안동향

Microsoft, 엣지의 보안 우회 취약점 수정 하지 않을 예정

MICROSOFT WON’T FIX SECURITY BYPASS VULNERABILITY IN EDGE


최근 보안연구원이 마이크로소프트 브라우저인 Edge 취약점에 대한 세부 사항을 공개하였습니다. 이 취약점은 구글 크롬과 애플 사파리와 같은 Webkit 브라우저의 구 버전들에도 영향을 미치는 것으로 확인되었습니다. 


연구원에 따르면, 공격자는 Edge에서 lnline 스크립트 코드를 허용하기 위해 브라우저의 CSP 헤더를 안전하지 않은 inline CSP 지시로 수정해 정보 유출을 발생시킬 수 있다고 밝혔습니다. 


여기서부터, 공격자는 window.open() 메쏘드를 사용해 새 창을 열고 document.write 함수를 호출할 수 있게 됩니다. 이로써 공격자는 새 창에 코드를 쓸 수 있으며, CSP를 우회할 수 있게 되는 것입니다.


Same-origin 정책에 뿌리를 둔 CSP는 보안 레벨을 추가하는 표준으로, 크로스사이트 스크립팅, 클릭재킹, 데이터 주입 공격 등을 방지하기 위해 설계 되었습니다.


취약한 브라우저의 about:blank 페이지는 로딩 된 문서와 동일 오리진을 갖습니다. 연구원은 또한 CSP 제한이 제거 되어 공격자는 사용자가 악성 웹페이지로 이동하도록 속일 수 있게 된다고 밝혔습니다.


이 문제는 올 4월 발표 된 가장 최신 버전의 마이크로소프트 Edge 브라우저 40.15063에 존재합니다. 하지만 마이크로소프트는 브라우저의 CSP의 방식은 애초에 그렇게 설계 되었으며, 문제를 해결할 계획은 없다고 밝혔습니다.


연구원들은 이 취약점이 잠재적으로 기밀 정보 유출로 이어질 수 있다고 경고했습니다.






출처 :

https://threatpost.com/microsoft-wont-fix-security-bypass-vulnerability-in-edge/127865/


저작자 표시
신고
티스토리 방명록 작성
name password homepage