모질라, 파이어폭스의 "마스터 패스워드" 보안 우회 취약점 패치해

Mozilla addresses "master password" security bypass flaw in Firefox

모질라 파이어폭스가 저장된 패스워드에 우회 접근이 가능했던 파이어폭스 패스워드 매니저의 취약점을 수정하는 패치(버전 68.0.2)를 공개했습니다.

마스터 패스워드(기본 비밀번호)가 설정되면, '저장된 로그인' 대화창의 저장된 패스워드에 접근하기 전 마스터 패스워드를 입력해야만 합니다.

[그림 1] Firefox 저장된 로그인 화면

[그림 2] 마스터 패스워드(기본 비밀번호) 설정 화면

[그림 3] 저장된 로그인 기능을 가져올 때, 마스터 비밀번호를 질의하는 화면

그런데 이전에는 마스터 패스워드를 입력하지 않고도 '패스워드 복사' 컨텍스트 메뉴 아이템을 통해 로컬에 저장된 패스워드가 클립보드에 복사되어 패스워드를 탈취할 수 있었습니다.

CVE-2019-11733으로 등록된 이 취약점은 "보통" 레벨로 분류되었습니다.

마스터 패스워드가 설정되면, "저장된 로그인" 메뉴에서 저장된 로그인 크리덴셜에 접근하기 전 반드시 마스터 패스워드를 입력해야 합니다. 

아래 그림과 같이 사용자들은 "패스워드 보기" 버튼을 클릭한 후, 마스터 패스워드를 입력하고 나서 저장된 패스워드를 열람할 수 있습니다.

[그림 4] 저장된 로그인 비밀번호 표시 화면

[그림 5] 비밀번호 표시 클릭 시, 마스터 비밀번호를 질의하는 화면

[그림 6] 마스터 비밀번호 입력 후, 저장된 로그인 크리덴셜의 비밀번호를 보여주는 화면

패치되기 전 문제는 사용자들이 "패스워드 보기" 창에서 마우스 우클릭 후 "패스워드 복사"를 선택하면, 마스터 패스워드를 입력하지 않아도 패스워드가 클립보드에 복사가 된다는 것입니다.

[그림 7] 저장된 로그인 크리덴셜의 비밀번호를 복사하는 화면

최신 버전에서는 이 문제가 해결되어 마스터 패스워드가 설정된 경우 해당 패스워드 없이는 "패스워드 복사" 기능을 사용할 수 없습니다.

하지만 Naked Security의 Paul Ducklin은 파이어폭스의 패스워드 매니저에 또 다른 문제가 있다고 지적했습니다. 

패스워드 매니저 기능이 마스터 패스워드가 없더라도 기본으로 활성화되어 있다는 점입니다.

이는 디폴트 마스터 패스워드가 존재하지 않기 때문에, 파이어폭스의 디폴트 설정으로 인해 위에서 설명한 "패스워드 복사" 버그에 항상 노출되어 있습니다.

해당 버그는 파이어폭스 설치 후 "설정" -> "프라이버시 & 보안"에서 확인해 보실 수 있습니다.

출처:

https://securityaffairs.co/wordpress/89938/hacking/firefox-master-password-bug.html