CVE-2016-5133, CVE-2016-5134, CVE-2016-5135
CVE-2016-5136, CVE-2016-5137
[보안뉴스 문가용] 현지 시각으로 7월 23일, 우리나라 시간으로는 대략 23일에서 24일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.
.jpg)
1. CVE-2016-5133
구글 크롬 52.0.2743.82 이전 버전의 취약점으로 프록시 인증 과정 중 정보 출처를 제대로 다루지 않는다. 이로써 중간자 공격으로 프록시 인증 과정을 스푸핑할 수 있으며, 클라이언트와 서버 간 데이터 스트림을 조작해 잘못된 크리덴셜을 발동시킬 수도 있다.
2. CVE-2016-5134
구글 크롬 52.0.2743.82 이전 버전의 Proxy Auto-Config 기능의 net/proxy/proxy_service.cc에 있는 취약점으로 URL 정보가 scheme, host, port에 올바로 제한되도록 하지 않는다. 이로써 원격의 공격자들이 서버 크리덴셜을 취득하는 게 가능해진다. CVE-2016-3763과 관련이 있는 취약점이다.
3. CVE-2016-5135
구글 크롬 52.0.2743.82 이전 버전의 Blink의 WebKit/Source/core/html/parser/HTMLPreloadScanner.cpp에 있는 취약점으로 preload 요청 처리 시 HTML 문서 내 referrer-policy 정보를 제대로 다루지 않는다. 이로써 원격의 공격자들이 Content Security Policy 보호 장치를 우회할 수 있게 된다.
4. CVE-2016-5136
구글 크롬 52.0.2743.82 이전 버전의 Extensions 서브시스템의 extensions/renderer/user_script_injector.cc의 UaF 취약점으로 원격의 공격자가 CoS 공격을 감행할 수 있게 해준다.
5. CVE-2016-5137
구글 크롬 52.0.2743.82 이전 버전의 Blink의 Contents Security Policy의 WebKit/Source/core/frame/csp/CSPSource.cpp의 CSPSource::schemeMatches 함수에 있는 취약점으로 http:80 정책을 http:443 URL들에 적용하지 않고, ws:80 정책을 wss:443 URL들에 적용하지 않는다. 이로써 공격자들이 특정 HSTS 웹 사이트가 방문되었는지 아닌지 쉽게 판별할 수 있게 된다. CVE-2016-1617과 관련이 있는 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]
CVE-2016-5136, CVE-2016-5137
[보안뉴스 문가용] 현지 시각으로 7월 23일, 우리나라 시간으로는 대략 23일에서 24일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.
1. CVE-2016-5133
구글 크롬 52.0.2743.82 이전 버전의 취약점으로 프록시 인증 과정 중 정보 출처를 제대로 다루지 않는다. 이로써 중간자 공격으로 프록시 인증 과정을 스푸핑할 수 있으며, 클라이언트와 서버 간 데이터 스트림을 조작해 잘못된 크리덴셜을 발동시킬 수도 있다.
2. CVE-2016-5134
구글 크롬 52.0.2743.82 이전 버전의 Proxy Auto-Config 기능의 net/proxy/proxy_service.cc에 있는 취약점으로 URL 정보가 scheme, host, port에 올바로 제한되도록 하지 않는다. 이로써 원격의 공격자들이 서버 크리덴셜을 취득하는 게 가능해진다. CVE-2016-3763과 관련이 있는 취약점이다.
3. CVE-2016-5135
구글 크롬 52.0.2743.82 이전 버전의 Blink의 WebKit/Source/core/html/parser/HTMLPreloadScanner.cpp에 있는 취약점으로 preload 요청 처리 시 HTML 문서 내 referrer-policy 정보를 제대로 다루지 않는다. 이로써 원격의 공격자들이 Content Security Policy 보호 장치를 우회할 수 있게 된다.
4. CVE-2016-5136
구글 크롬 52.0.2743.82 이전 버전의 Extensions 서브시스템의 extensions/renderer/user_script_injector.cc의 UaF 취약점으로 원격의 공격자가 CoS 공격을 감행할 수 있게 해준다.
5. CVE-2016-5137
구글 크롬 52.0.2743.82 이전 버전의 Blink의 Contents Security Policy의 WebKit/Source/core/frame/csp/CSPSource.cpp의 CSPSource::schemeMatches 함수에 있는 취약점으로 http:80 정책을 http:443 URL들에 적용하지 않고, ws:80 정책을 wss:443 URL들에 적용하지 않는다. 이로써 공격자들이 특정 HSTS 웹 사이트가 방문되었는지 아닌지 쉽게 판별할 수 있게 된다. CVE-2016-1617과 관련이 있는 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
