check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

삼성 브라우저에서 동일출처정책 우회 가능한 취약점 발견돼

길민권 기자 mkgil@dailysecu.com 2018년 01월 02일 화요일

andr-1.jpg
최근 삼성 안드로이드 브라우저에서 심각한 취약점이 발견되었다. 해당 취약점은 삼성 휴대폰을 사용하는 수억명의 사용자들이 영향을 받을 것으로 예상된다고 해외 언론이 보도했다.

이번에 발견된 취약점은 브라우저의 동일출처정책(SOP, Same Origin Policy)을 우회할 수 있는 취약점으로, CVE-2017-17692로 등록되었으며 삼성휴대폰 5.4.02.3 이상 버전의 브라우저에서 영향을 받습니다.

이번에 발견된 브라우저의 동일출처정책(SOP, Same Origin Policy)은 악성 사이트가 동일출처정책의 제약에서 벗어나 사용자의 민감한 정보들을 읽을 수 있게된다.

보안전문가 그룹 레피드7은 다음과 같이 말했다.

이번에 발견된 취약점은, 즉 자바스크립트(JavaScript)가 동일출처정책(SOP, Same Origin Policy)을 위반한 것을 뜻하며, 공격자는 출처가 동일하지 않은 페이지를 통해 JavaScript를 컨트롤해 사용자를 악성 페이지로 유도할 수 있다. 다시말해 공격자는 js스크립트를 자신이 원하는 어느 도메인이든 인젝션 시킬 수 있다는 뜻이다.

공격자는 해당 취약점을 악용해 사용자 PC중 쿠키(cookie) 혹은 현재 작성하고 있는 이메일 등의 정보를 탈취할 수 있다.

현재 해당 취약점은 삼성에 보고되었으며, 삼성측에서 회신 결과 "해당 취약점은 갤럭시노트 8에서 이미 패치되었으며, 패치가 되지 않은 기기를 사용하는 사용자들은 구글플레이에서 해당 취약점에 대한 패치가 된 브라우저를 사용하면 된다"고 밝혔다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록