MICROSOFT WON’T FIX SECURITY BYPASS VULNERABILITY IN EDGE
최근 보안연구원이 마이크로소프트 브라우저인 Edge 취약점에 대한 세부 사항을 공개하였습니다. 이 취약점은 구글 크롬과 애플 사파리와 같은 Webkit 브라우저의 구 버전들에도 영향을 미치는 것으로 확인되었습니다.
연구원에 따르면, 공격자는 Edge에서 lnline 스크립트 코드를 허용하기 위해 브라우저의 CSP 헤더를 안전하지 않은 inline CSP 지시로 수정해 정보 유출을 발생시킬 수 있다고 밝혔습니다.
여기서부터, 공격자는 window.open() 메쏘드를 사용해 새 창을 열고 document.write 함수를 호출할 수 있게 됩니다. 이로써 공격자는 새 창에 코드를 쓸 수 있으며, CSP를 우회할 수 있게 되는 것입니다.
Same-origin 정책에 뿌리를 둔 CSP는 보안 레벨을 추가하는 표준으로, 크로스사이트 스크립팅, 클릭재킹, 데이터 주입 공격 등을 방지하기 위해 설계 되었습니다.
취약한 브라우저의 about:blank 페이지는 로딩 된 문서와 동일 오리진을 갖습니다. 연구원은 또한 CSP 제한이 제거 되어 공격자는 사용자가 악성 웹페이지로 이동하도록 속일 수 있게 된다고 밝혔습니다.
이 문제는 올 4월 발표 된 가장 최신 버전의 마이크로소프트 Edge 브라우저 40.15063에 존재합니다. 하지만 마이크로소프트는 브라우저의 CSP의 방식은 애초에 그렇게 설계 되었으며, 문제를 해결할 계획은 없다고 밝혔습니다.
연구원들은 이 취약점이 잠재적으로 기밀 정보 유출로 이어질 수 있다고 경고했습니다.
출처 :
https://threatpost.com/microsoft-wont-fix-security-bypass-vulnerability-in-edge/127865/
해커들, 약물을 과잉 투여 하기 위해 주사기 주입 펌프에 원격으로 접근 (0) | 2017.09.11 |
---|---|
Struts Freemarker 태그 원격코드실행 취약점(S2-053) 발견! (0) | 2017.09.08 |
해커들, 백도어가 포함 된 ‘Cobian RAT’ 해킹 툴 무료로 배포해 (0) | 2017.09.08 |
탑 제조사들의 모바일 부트로더들, 공격자들이 영구적인 루트 권한 얻도록 허용해 (0) | 2017.09.07 |
연구원들, mRAT과 관련 있는 새로운 정교한 악성코드인 xRAT 발견 (0) | 2017.09.07 |
댓글 영역