Home > 전체기사
인기 메모 앱 에버노트의 크롬 플러그인에서 위험한 취약점 발견
  |  입력 : 2019-06-13 11:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에버노트 웹 클리퍼에서 발견된 XSS 취약점...위험한 정보 유출시켜
공격자들, 미리 만들어둔 악성 웹사이트로 사용자 유도하는 방법 사용 가능


[보안뉴스 문가용 기자] 인기 높은 크롬용 플러그인에서 위험한 취약점이 발견됐다. 바로 에버노트 웹 클리퍼(Evernote Web Clipper)로, 취약점 익스플로잇에 성공할 경우 사용자가 접근한 웹사이트들로부터 민감한 정보를 추출하고 훔쳐낼 수 있게 된다고 한다.

[이미지 = iclickart]


브라우저 보안 전문 업체인 구아디오(Guardio)가 발견한 문제로, “취약점의 본질은 XSS”라고 발표했다. “공격자는 악성 웹사이트를 사용해 브라우저 내에 구축된 ‘동일 출처 정책(same-origin policy, SOP)’을 회피하고 임의의 코드를 실행할 수 있게 됩니다.”

에버노트 웹 클리퍼는 크롬용 확장 프로그램으로, 사용자들이 웹 페이지나 기사, 이미지, 텍스트, 이메일 등을 저장해 모바일 메모 프로그램인 에버노트와 쉽게 연동할 수 있도록 해준다. 에버노트의 인기와 함께 사용자가 급상승한 프로그램이다.

구아디오가 이번에 발견한 취약점에는 CVE-2019-12592라는 번호가 붙었다. “익스플로잇을 위해서는 악성 웹사이트가 하나 필요합니다. 공격자가 미리 공격용 사이트를 미리 만들어 두어야 하죠. 공격 표적이 되는 웹사이트들의 숨겨진 아이프레임을 로딩할 수 있는 사이트여야 합니다. 피해자가 이 사이트를 방문하면 공격자가 악성 페이로드를 아이프레임에 주입할 수 있게 되며, 이를 통해 쿠키, 크리덴셜 등의 정보를 훔쳐낼 수 있습니다.”

구아디오는 공격자가 사용자의 페이스북 정보와 페이팔 거래 정보를 훔쳐내는 과정을 시연해 영상(https://www.youtube.com/watch?time_continue=1&v=_QTkS7N49EQ)으로 공개했다.

“이 취약점은 큰 위험을 초래할 수 있습니다. 게다가 공격자들에게 유용할 수 있고, 난이도가 그리 높지도 않습니다. 에버노트 웹 클리퍼의 사용자가 460만 명이 넘는다는 걸 생각하면 영향력도 만만치 않습니다.” 구아디오 측의 주장이다.

CVE-2019-12592는 논리적인 코딩 오류라고 구아디오는 설명한다. 5월 27일에 에버노트 개발자들에게 사실을 알렸고, 며칠 후 에버노트는 7.11.1 버전을 내놓으며 문제를 해결했다. “에버노트 사용자들이라면 에버노트와 웹 클리퍼 모두 최신 버전으로 업데이트 하는 게 좋습니다. 크롬이 보통은 자동으로 플러그인을 업데이트 하는데, 가끔 이 자동 업데이트 기능을 꺼놓는 사용자들이 있습니다. 수동으로라도 업데이트를 해야 할 것입니다.”

3줄 요약
1. 인기 메모 앱 에버노트와 연동되는 크롬 플러그인에서 취약점 발견됨.
2. 미리 구성한 악성 웹사이트로 사용자 유도하면 민감한 정보 훔칠 수 있음.
3. 에버노트 측은 업데이트 배포. 메모 앱과 크롬용 플러그인 모두 적용해야 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)