SQLite 취약점, 크롬, 파이어폭스 등으로부터 민감한 데이터 노출시킬 수 있어... 주의!

SQLite 취약점, 크롬, 파이어폭스 등으로부터 민감한 데이터 노출시킬 수 있어... 주의!

SQLite Vulnerability Could Expose Sensitive Data from Chrome, Firefox, More

지난 5월 공개된 SQLite 3.13.0에서 SQLite 템포러리 파일로부터 민감한 정보를 유출시키는데 사용될 수 있는 취약점을 수정했습니다. SQLite는 어도비, 구글, 마이크로소프트, 모질라 등의 다양한 데스크탑이나 웹 기반의 제품들에 사용되는 프로젝트입니다.

KoreLogic에 따르면, SQLite 3.13.0 이전의 모든 버전에서 정보 유출 이슈가 발견되어 사용자의 각별한 주의가 필요합니다. 이는 데이터가 DB를 통해 이동되는 데이터를 저장하는 데에 사용하는 임시 파일을 저장할 디렉토리를 선택하는 과정에서 발생했습니다.

SQLite는 임시 파일을 저장하기 위해서 프로그램이 원하는 위치에 대해 여러가지 항목을 확인합니다. 이러한 확인에 실패할 경우, SQLite는 임시 파일을 프로그램의 현재 폴더인 “.” 경로에 저장할 것입니다.

SQLite 기반의 프로그램들은 임시 파일을 NFS나 중소기업의 네트워크 공유 폴더에 저장해 데이터 수집이 가능하도록 합니다. 또한 제거 가능한 드라이브에 저장해 사용자가 물리적으로 제어할 수 없게 될 수 있습니다.

한편, 취약한 SQLite 기반 프로그램을 업데이트하는데에는 시간이 꽤 소요될 것으로 예상됩니다.

이론적으로 이 임시 파일은 프로그램 외부에서 공유되지 않도록 의도된 민감 데이터를 포함할 수 있습니다. 예를 들어, 브라우저에서는 웹 트래픽, BitTorrent 클라이언트에서는 다운로드 파일에 대한 정보 등이 있습니다.

SQLite 기반의 모든 프로그램을 패치하는데는 앞으로 시간이 많이 필요할 것입니다. 따라서 개발자들은 KoreLogic의 권고문을 확인하고 코드를 리뷰해야할 것을 권합니다.

출처 :

http://news.softpedia.com/news/sqlite-vulnerability-could-expose-sensitive-data-from-chrome-firefox-more-506080.shtml#ixzz4DlL4S35N

https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt