미니 Android Firefox 78이하 버전에서 브라우저 탈취 취약점 존재. 업데이트 필요
- 스퀴니
- 조회 수 137
- 2020.09.20. 13:46
Android Firefox 78이하 버전에서 브라우저 탈취 취약점이 존재합니다
Mozilla는 동일한 Wi-Fi 네트워크에서 Android 용 Firefox 브라우저를 모두 탈취하고 사용자가 피싱 페이지와 같은 악성 사이트에 액세스하도록 악용 할 수 있는 버그를 수정했습니다.
이 버그는 GitLab에서 일하는 호주 보안 연구원 인 Chris Moberly가 발견했습니다.
실제 취약점은 Firefox SSDP 구성 요소에 있습니다. SSDP는 Simple Service Discovery Protocol의 약자 이며 Firefox가 콘텐츠를 공유하거나 수신하기 위해 동일한 네트워크에서 다른 장치를 찾는 메커니즘입니다
장치가 발견되면 Firefox SSDP 구성 요소는 해당 장치의 구성이 저장된 XML 파일의 위치를 가져옵니다.
그러나 Moberly는 이전 버전의 Firefox 에서 이 XML에서 Android "인텐트"명령 을 숨기고 Firefox 브라우저가 "인 텐트"를 실행하도록 할 수 있음을 발견했습니다. 이는 Firefox에 링크 액세스를 지시하는 것과 같은 일반적인 명령 일 수 있습니다.
이 취약점은 Android Firefox 78 이하에서 수행이 가능하며 79버전에서 수정되어 업데이트가 필수적입니다
댓글
0