<p>구글 크롬 브라우저 버그로 수십억 명의 사용자가 데이터 도난에 노출</p><p>이 취약점을 통해 공격자는 콘텐츠 보안 정책 (CSP) 보호를 우회하고 웹 사이트 방문자의 데이터를 훔칠 수 있습니다.</p><p>Google Chromium 기반 브라우저의 취약성으로 인해 공격자는 데이터를 훔치고 악성 코드를 실행하기 위해 웹 사이트의 콘텐츠 보안 정책 (CSP)을 우회 할 수 있습니다.</p><p>PerimeterX 사이버 보안 연구원 Gal Weizman에 따르면 이 버그 ( CVE-2020-6519 )는 Windows, Mac 및 Android의 Chrome, Opera 및 Edge에서 발견되며 잠재적으로 수십억 명의 웹 사용자에게 영향을 미칩니다. Chrome 버전 73 (2019 년 3 월) ~ 83이 영향을받습니다 (84는 7 월에 출시되었으며 문제가 해결됨).</p><p>CSP는 크로스 사이트 스크립팅 (XSS) 및 데이터 삽입 공격을 포함한 특정 유형의 공격을 차단하기위한 웹 표준입니다. CSP를 통해 웹 관리자는 브라우저가 실행 가능한 스크립트의 유효한 소스로 간주해야하는 도메인을 지정할 수 있습니다. 그러면 CSP 호환 브라우저는 해당 도메인에서받은 소스 파일에로드 된 스크립트 만 실행합니다.</p><p><br></p><p>"CSP 그래서 브라우저 집행이 우회 할 수있는 경우, 개인 사용자 데이터가 위험에 자신의 웹 사이트에 악성 그림자 코드 실행을 방지하기 위해 데이터 보안 정책을 적용 할 웹 사이트 소유자가 사용하는 기본 방법이다"Weizman은 설명 연구 에 대한 발표 월요일.</p><p>연구원은 ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo 및 Zoom과 같은 인터넷 거물을 포함하여 대부분의 웹 사이트에서 CSP를 사용합니다. GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahoo의 로그인 페이지 및 Yandex를 비롯한 일부 주목할만한 이름은 영향을받지 않았습니다.</p><p>취약점을 악용하기 위해 공격자는 자신이 사용하는 JavaScript 코드를 수정할 수 있도록 먼저 무차별 암호 대입 암호 또는 다른 방법을 통해 웹 서버에 액세스해야합니다. 그런 다음 공격자는 삽입 된 코드가이를로드하고 실행할 수 있도록 JavaScript에 frame-src 또는 child-src 지시문을 추가하여 CSP 시행을 우회하여 사이트의 정책을 우회 할 수 있다고 Weizman은 설명했습니다.</p><p>버그의 사후 인증 측면으로 인해 중간 심각도 문제로 평가됩니다 (CvSS 척도에서 10 점 만점에 6.5 점). 그러나 CSP 시행에 영향을 미치기 때문에 이는 엄청난 의미를 가지고 있습니다.”라고 Weizman은이를 안전 벨트, 에어백 및 충돌 센서에 문제가있는 것과 비교하면서 말했습니다.</p><p>연구원은“안전에 대한 인식이 높아졌기 때문에이 장비의 결함으로 인한 사고로 인한 피해가 훨씬 더 심각합니다. 비슷한 방식으로 웹 사이트 개발자는 타사 스크립트가 결제 페이지에 기능을 추가하도록 허용 할 수 있습니다. 예를 들어 CSP가 민감한 정보에 대한 액세스를 제한한다는 사실을 알고 있습니다. 따라서 CSP가 손상되면 CSP에 의존하는 사이트의 위험이 사이트에 처음부터 CSP가 없었을 때보 다 잠재적으로 더 높습니다. "</p><p>이 취약점은 수정되기 전 1 년 이상 Chrome 브라우저에 존재했기 때문에 Weizman은 버그의 전체 의미가 아직 알려지지 않았다고 경고했습니다.“이를 악용 한 향후 몇 달 내에 데이터 침해에 대해 알게 될 가능성이 높습니다. 사악한 목적으로 개인 식별 정보 (PII)가 유출되었습니다. "</p><p>사용자는 익스플로잇의 희생양이되지 않도록 브라우저를 최신 버전으로 업데이트해야합니다.</p><p><br></p>
<!-- -->
