Home > 전체기사

사파리 취약점, 사이트 넘나드는 사용자 추적 가능케 해

  |  입력 : 2022-01-17 12:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
패치되지 않은 사파리 취약점...사용자 겨냥한 공격적 추적 가능케 해

요약 : 애플의 브라우저 사파리 15에서 취약점이 발견됐다. 인덱스드DB(IndexedDB)라는 API와 관련된 것이라고 하며 아직 패치가 되지 않았다. 이 취약점은 11월 28일 핑거프린트JS(FingerprintJS)라는 업체에서 발견해 보고했다고 한다. 익스플로잇에 성공할 경우 사파리 사용자가 어느 사이트를 방문했는지 상관없이 추적을 할 수 있다고 한다. 애플은 아직 패치 일정을 발표하지 않고 있다.

[이미지 = utoimage]


배경 : 인덱스트드DB는 저수준 자바스크립트 애플리케이션 프로그래밍 인터페이스로 정형화 된 데이터들(예 : 파일)의 NoSQL 데이터베이스를 유지 및 관리하는 데에 널리 사용된다. 하지만 이번 취약점은 사파리 브라우저와의 연동성에서 발생하는 것이기 때문에 파급력이 크지는 않다.

말말말 : “사파리 15에서는 인덱스드DB가 동일 출처 정책을 위반하고 있습니다. 웹사이트와 데이터베이스가 연동될 때마다 같은 이름을 가진 다른 데이터베이스가 활성화된 프레임들에 생성이 되거든요.” -핑거프린트JS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)