Microsoft는 Chrome 웹 브라우저에서 발견한 원격 코드 실행 취약점에 대해 자세히 공개했다. 구글은 현재 Chrome 61 출시를 통해 결함을 패치한 상태이다.
Microsoft의 Offensive Security Research(OSR) 팀은 자체 자바 스크립트 엔진인 Chakra를 테스트하기 위해 Microsoft에서 개발한 fuzzer 인 ExprGen을 사용하여
Chrome의 V8 오픈 소스 JavaScript 엔진을 분석했다. 그 결과 처음에는 정보 유출이 발견되었으며 궁극적으로 Chrome renderer 프로세스에서
임의의 코드가 실행되었다. 그러나 Chrome은 제한된 환경에서 웹 응용 프로그램이 실행되도록 샌드 박스를 사용하는 특징을 가진다. 즉, 시스템에 대한 완전하고
지속적인 제어를 수행하기 위해서 해커는 샌드 박스 이탈을 허용하는 취약점을 식별해야 한다. SOP가 우회되면 해커는 임의의 웹 사이트에 저장된 암호를 훔치고
UXSS (Universal Cross-Site Scripting)를 통해 임의의 JavaScript를 웹 페이지에 주입해 모든 웹 사이트를 자동 탐색 할 수 있다. 이러한 공격을 효과적으로
구현하는 방법은 렌더러와 브라우저 프로세스가 서로 통신하고 관련 메시지를 직접 시뮬레이션하는 방법을 알아내는 것이다. 이를 막기 위해 암호 이중 인증을
사용하더라도, 이미 로그인 한 웹 사이트에서 사용자 정보를 스푸핑 할 수 있기 때문에 주의해야 한다. 이 취약점은 CVE-2017-5121로 추적되며 Chrome 61의
출시로 지난 달 Google에 의해 패치되었다. Google은 아직 자체 버그 추적 프로그램에서 발견한 결함 세부 정보를 공개하지 않았다.
[https://www.bleepingcomputer.com/news/security/microsoft-takes-jab-back-at-googles-security-team/]
[https://blogs.technet.microsoft.com/mmpc/2017/10/18/browser-security-beyond-sandboxing/]
'Security_News > 해외보안소식' 카테고리의 다른 글
| 한국만을 노리는 랜섬웨어 출현, Magniber (0) | 2017.10.23 |
|---|---|
| MS Word DDE 취약점을 이용해 랜섬웨어가 유포 (0) | 2017.10.23 |
| 새로운 변종 Necurs 봇넷 다운로더 유포 시작 (0) | 2017.10.19 |
| 구글의 새로운 보안 기능이 등장... 비밀번호를 알아 내도 계정 액세스 막을 수 있다 (0) | 2017.10.19 |
| ATM에서 돈을 빼내는 멀웨어, 다크웹에서 판매중 (0) | 2017.10.19 |