상세 컨텐츠

본문 제목

Microsoft, 엣지의 보안 우회 취약점 수정 하지 않을 예정

국내외 보안동향

by 알약(Alyac) 2017. 9. 8. 14:42

본문

MICROSOFT WON’T FIX SECURITY BYPASS VULNERABILITY IN EDGE


최근 보안연구원이 마이크로소프트 브라우저인 Edge 취약점에 대한 세부 사항을 공개하였습니다. 이 취약점은 구글 크롬과 애플 사파리와 같은 Webkit 브라우저의 구 버전들에도 영향을 미치는 것으로 확인되었습니다. 


연구원에 따르면, 공격자는 Edge에서 lnline 스크립트 코드를 허용하기 위해 브라우저의 CSP 헤더를 안전하지 않은 inline CSP 지시로 수정해 정보 유출을 발생시킬 수 있다고 밝혔습니다. 


여기서부터, 공격자는 window.open() 메쏘드를 사용해 새 창을 열고 document.write 함수를 호출할 수 있게 됩니다. 이로써 공격자는 새 창에 코드를 쓸 수 있으며, CSP를 우회할 수 있게 되는 것입니다.


Same-origin 정책에 뿌리를 둔 CSP는 보안 레벨을 추가하는 표준으로, 크로스사이트 스크립팅, 클릭재킹, 데이터 주입 공격 등을 방지하기 위해 설계 되었습니다.


취약한 브라우저의 about:blank 페이지는 로딩 된 문서와 동일 오리진을 갖습니다. 연구원은 또한 CSP 제한이 제거 되어 공격자는 사용자가 악성 웹페이지로 이동하도록 속일 수 있게 된다고 밝혔습니다.


이 문제는 올 4월 발표 된 가장 최신 버전의 마이크로소프트 Edge 브라우저 40.15063에 존재합니다. 하지만 마이크로소프트는 브라우저의 CSP의 방식은 애초에 그렇게 설계 되었으며, 문제를 해결할 계획은 없다고 밝혔습니다.


연구원들은 이 취약점이 잠재적으로 기밀 정보 유출로 이어질 수 있다고 경고했습니다.






출처 :

https://threatpost.com/microsoft-wont-fix-security-bypass-vulnerability-in-edge/127865/


관련글 더보기

댓글 영역