9백만 사용자의 검색 히스토리, 쿠키, 개인정보 유출될 뻔
[보안뉴스 문가용] AVG 백신 소프트웨어를 설치할 때 같이 설치되는 크롬의 엑스텐션인 AVG 웹 튠업(AVG Web TuneUp)에서 취약점이 발견되었고, 수정됐다. 발견자는 구글 프로젝트 제로팀의 타비스 오만디(Tavis Ormandy).
해당 엑스텐션은 전 세계적으로 9백만 명의 사용자를 보유하고 있는데, 해당 취약점을 악용할 경우 사용자의 검색 히스토리, 쿠키, 개인정보가 모두 유출될 수 있게 된다. 즉 최소 9백만 건의 정보가 위험에 노출되어 있었다는 상황이다.
해당 엑스텐션은 환경설정 옵션과 새로 열린 탭 페이지를 하이재킹하기 위하여 크롬에 여러 자바스크립트 API를 추가하는데 이는 애초에 크롬의 API 보호 메커니즘을 위반하기 때문에 우회할 수밖에 없도록 되어 있다는 게 타비스 오만디의 설명이다.
한편 AVG 측은 그런 위험성에 대해 몰랐다는 입장이다. “우리는 전혀 알지 못했던 취약점을 알려준 구글 프로젝트 팀에 감사하며, 덕분에 이번에 발견된 문제를 잘 해결해놓은 상태다. 업데이트도 현재 배포 중에 있어, 사용자 시스템에서 자동으로 업데이트가 될 것이다.”
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] AVG 백신 소프트웨어를 설치할 때 같이 설치되는 크롬의 엑스텐션인 AVG 웹 튠업(AVG Web TuneUp)에서 취약점이 발견되었고, 수정됐다. 발견자는 구글 프로젝트 제로팀의 타비스 오만디(Tavis Ormandy).
해당 엑스텐션은 전 세계적으로 9백만 명의 사용자를 보유하고 있는데, 해당 취약점을 악용할 경우 사용자의 검색 히스토리, 쿠키, 개인정보가 모두 유출될 수 있게 된다. 즉 최소 9백만 건의 정보가 위험에 노출되어 있었다는 상황이다.
해당 엑스텐션은 환경설정 옵션과 새로 열린 탭 페이지를 하이재킹하기 위하여 크롬에 여러 자바스크립트 API를 추가하는데 이는 애초에 크롬의 API 보호 메커니즘을 위반하기 때문에 우회할 수밖에 없도록 되어 있다는 게 타비스 오만디의 설명이다.
한편 AVG 측은 그런 위험성에 대해 몰랐다는 입장이다. “우리는 전혀 알지 못했던 취약점을 알려준 구글 프로젝트 팀에 감사하며, 덕분에 이번에 발견된 문제를 잘 해결해놓은 상태다. 업데이트도 현재 배포 중에 있어, 사용자 시스템에서 자동으로 업데이트가 될 것이다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
