구글 크롬 또는 다른 Chromium 기반 웹 브라우저를 실행하는 경우 웹사이트는 사용자 허가나 사용자 작업 없이 원하는 모든 것을 운영 체제의 클립보드에 푸시할 수 있는 문제가 있습니다.
컴퓨터 사용자는 임시 저장을 위해 시스템의 클립보드를 사용할 수 있습니다: 웹사이트에 암호를 입력하기 위한 암호, 시스템의 다른 위치로 이동하기 위한 파일 또는 워드 문서 또는 워드 문서에 붙여 넣으려고 사용을 하고 있습니다.
사이트는 적어도 사용자의 허가 없이 클립보드의 콘텐츠에 액세스할 수 없어야 하지만 구글 크롬 또는 구글 크롬을 바탕 즉 Chromium 기반 브라우저에는 현재 이러한 제한이 없습니다.
사이트를 방문하여 나중에 클립보드의 내용을 확인하기만 하면 됩니다.
윈도우 메모장과 같은 텍스트 앱에 클립보드 내용을 붙여 넣기 할 수 있으며
여기서 다음과 같은 문장이 나오면 취약한 것입니다.
Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github(.)com/w3c/clipboard-apis/issues/182.
그러나 모든 Chromium(크로미엄) 기반 브라우저가 이 문제의 영향을 받는 것은 아니며 해당 GitHub 페이지에서는 사용자 제스처 요구 사항으로 말미암아 브라우저에서 원격 클립보드 동기화가 중단될 수 있다고 가정하고 있습니다.
개인적으로 구글 크롬 브라우저 105.0.5195.54에서는 발생을 하지 않았습니다. 한번 테스트해 보고 싶은 분들은 한번 해 보시길 바랍니다.
반응형
그리드형
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
북한 해커 조직 Kimsuky(김수키)에서 만든 워드 악성코드-미국의 외교정책과 우리의 대응방향.doc (2) | 2022.09.06 |
---|---|
윈도우 디펜더 구글 크롬,일렉트론 Win32/Hive.Z 오진 (8) | 2022.09.05 |
마이크로소프트 엣지 105 브라우저 시작하지 않는 문제 해결 방법 (2) | 2022.09.05 |
구글 크롬 105.0.5195.102 긴급 보안 업데이트 (0) | 2022.09.04 |
구글 크롬 사용자 인터넷 기록을 훔치는 구글 크롬 부가기능-Netflix Party (0) | 2022.09.01 |
알약(ALYac) 백신의 랜섬웨어 차단 알림 문제와 안전모드 부팅 방법 (0) | 2022.08.31 |
김수키 러시아 외무부 를 공격 하기 위해 PPTX 파일로 위장 하고 있는 악성코드-Pyongyang in talks with Moscow on access to Donbass (2) | 2022.08.30 |
윈도우 10 KB5016688 미리 보기 업데이트로 일부 문제 수정 (0) | 2022.08.29 |