0xNews - 웹 브라우저에서 제로데이 0-Day 취약점 발견
0xNews - 웹 브라우저에서 제로데이 0-Day 취약점 발견
PerimeterX 연구팀 발표
https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/
윈도우, Mac, 안드로이드용 크로니움 Chromium 기반 웹 브라우저에서 제로데이 0-Day 취약점 발견
이번 취약점은 Chrome, Opera, Edge 등 웹 브라우저에도 영향을 미침
CVE-2020-6519 지정
CVSS 3.x 스코어 6.5
https://nvd.nist.gov/vuln/detail/CVE-2020-6519
이 취약점은 대상 웹 사이트에서 악성 코드를 임의로 실행하는 콘텐츠 보안 정책 CSP Content Security Policy 을 완전히 우회함으로서 발생
이번 발표를 한 연구팀 분석 결과 다음 리스트 대상으로 테스트 진행, 일부에서 해당 취약점에 취약한 것으로 확인
Wells Fargo
Zoom
Gmail
Investopedia
ESPN
Roblox
Indeed
TikTok
Blogger
Quora
구글의 크롬 브라우저는 Chrome 84 v.84.0.4147.89 에서 해당 취약점 수정
CSP 는 XSS Cross-Site Scripting 이나 데이터 인젝션 공격을 비롯한 특정 유형의 공격을 탐지하고 완화하는데 도움이 되는 추가 보안 계층
CSP 규칙을 사용하면 웹 사이트는 서버에서 받은 컨텐츠에 대한 브라우저의 신뢰를 악용하도록 설계된 특정 스크립트를 차단하기 위해
특정 클라이언트측 검사를 수행하도록 피해자의 브라우저에 명령할 수 있음
CSP 가 웹 사이트 소유자가 데이터 보안 정책을 시행하고 악성 스크립트 실행을 방지하는데 사용하는 기본 방법 중 하나
CSP 우회는 사용자 데이터를 효과적으로 위험에 노출될 수 있음
이는 브라우저가 실행가능한 스크립트의 유효한 소스로 간주하도록 하는 도메인을 지정하여 수행
CSP 호환 브라우저는 허용 목록에 있는 도메인에서 받은 소스 파일에 로드된 스크립트만 실행하고 나머지는 모두 무시
이번에 발견한 취약점 중
HTML iframe 요소의 "src" 속성에 악성 javascript 코드를 전달하기만 하면
웹 사이트에 구성된 CSP 우회 가능
인라인 스크립트 실행을 허용하기 위해 임시 혹은 해시를 사용하여 CSP 정책 구현
Goolge Play Store, PayPal 과 같이 동일하게 만든 사이트에서는 취약점이 발견되지 않았다는 점을 주목해야 함
CSP 레퍼런스 가이드 링크
https://content-security-policy.com/nonce/
사용자의 브라우저 최신 버전 업데이트를 통해 이번 취약점 대응 가능
웹 사이트 소유자는 보안 강화를 위해 CSP 임시 혹은 해시 기능을 사용 권고
구글 크롬 브라우저는 v.84.0.4147.125 업데이트 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.