마이크로소프트 엣지 브라우저 쿠키 및 암호 도용 가능 취약점 발견

꿈을꾸는 파랑새

윈도우 10에서는 기본적으로 설치된 브라우저 중 하나인 마이크로소프트 엣지 브라우저가 있습니다. 일단 최근 약 2017년4월24일에 마이크로소프트 엣지 브라우저에 대한 쿠키 및 암호 도용 가능 취약점 발견이 되었다는 소식입니다. 일단 기본적으로 해당 취약점은 현재 보안 업데이트가 이루어지지 않은 보안 취약점입니다.

Manuel Caballero의 의해서 발견이 되었다고 합니다.이번 취약점은 다음과 같습니다. 예를 들어서 웹 사이트 A이라는 사이트에서 웹 사이트 B에서 로드된 스크립트를 올리고 실행하지 못하게 하는 브라우저 보안 기능인 SOP(Same Origin Policy)을 우회하는 취약점으로 Edge의 SOP(Same Origin Policy)를 우회를 해서 악의적인 목적이 있는 공격자는 이를 이용해서 악성코드를 실행할 수가 있는 문제입니다.

컴퓨터사용자의 로그 아웃, 로그인 페이지 로드 및 브라우저의 암호 자동 완성 기능에 의해 자동으로 채워지는 사용자 자격 증명을 도용하는 보안 결함을 노출한 문제입니다.

더 자세한 내용

해당 공격을 이용한다고 하면 마이크로소프트 엣지 브라우저의 취약점을 악용하면 악의적인 목적을 가진 공격자가 브라우저에 저장된 사용자 개인정보인 암호와 쿠키 파일을 얻을 수 있게 됩니다. 일단 해당 취약점에 대한 보안 업데이트는 발표가 되지 않은 상태로 이를 해결하는 방법은 해당 브라우저인 마이크로소프트 엣지 브라우저 사용을 보안 업데이트를 나올 때까지 기다리는 방법밖에 없으면 만약에 브라우저를 사용하여야 한다고 하면 Internet Explorer, Mozilla Firefox, 구글 크롬 등과 같은 다른 브라우저를 임시로 이용하는 방법도 있습니다. 일단 해당 보안 취약점을 공개한 Manuel Caballero가 공개한 유튜브 동영상입니다.

Manuel Caballero 공개한 영상

그리고 어떤 브라우저를 사용하든 기본적으로 브라우저에서 제공하는 암호 저장 기능은 될 수 있으면 피하면 비밀번호관리 프로그램들인 라스트패스,로봇폼,Sticky Password 같은 프로그램을 따로 설치해서 이용하는 것이 안전하게 비밀번호 및 개인정보를 보호하는 한 방법입니다. 일단 보안 업데이트가 나올 때까지 해당 엣지 브라우저를 사용을 자제하는 것도 좋은 방법이라고 생각이 됩니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.04.29 08:25 신고

    MS를 버릴 수도 없고 취약점이 있는 부분도 도리가 없는 듯 해요

    • Favicon of https://wezard4u.tistory.com Sakai 2017.04.29 15:07 신고

      모두 완벽하지 않기 떄문에 취약점은 다른 브라우저도 존재를 하고 있습니다.어느 브라우저를 사용을 하더라도 주의를 기울리면 사용을 하는것이 안전하게 사용을 할수가 있는 방법일것입니다.

  2. Favicon of https://prolite.tistory.com IT세레스 2017.04.29 15:33 신고

    엣지 브라우저 잘 사용안하지만 왠만하면 사용하면 안되겠군요.

    • Favicon of https://wezard4u.tistory.com Sakai 2017.04.30 15:23 신고

      어느 브라우저에든 취약점이 있습니다.다만 취약점이 해결이 되될까지 사용을 자제하는것이 컴퓨터를 안전하게 사용을 하는 방법이라고 생각이 됩니다.

  3. Favicon of https://trip98.tistory.com veneto 2017.04.29 21:58 신고

    브라우저의 간편한 비밀번호저장기능으로 많이들 사용하실텐데 크롬에서 스마트락을 사용하고 있는입장에서
    털리면 대 재앙이 일어날것같은 느낌..ㅠㅠ

    • Favicon of https://wezard4u.tistory.com Sakai 2017.04.30 15:24 신고

      저는 스마트락을 사용을 하고 있지 않지만 기본적으로 제공되는 암호 입력 기능은 조심하는것이 좋을것 같습니다.

  4. Favicon of https://bubleprice.net 버블프라이스 2017.04.30 01:02 신고

    어떤 브라우저라 해도 보안에 완벽한 것은 없는것 같습니다. 사용자가 보안에 대한 중요성을 올바르게 인지하고, 보안에 취약할 수 있는 부분들을 사전에 찾아 조심하는 것이 피해를 줄일 수 있는 방법인 것 같습니다.

    • Favicon of https://wezard4u.tistory.com Sakai 2017.04.30 15:26 신고

      네~취약점이 발표가 되면 임시적으로 조치를 할수가 있는 부분은 조치를 하고 그리고 나서 보안 업데이트가 나올떄 까지 기다리는것도 좋은 방법일것이고 사용자가 조심하는 습관도 중요한것 같습니다.