금요일에 otto-js 연구팀은 사용자가 Google Chrome의 고급 맞춤법 검사 기능을 사용하는 방법에 대한 기사를 발표했습니다. Microsoft Edge는 자신도 모르게 비밀번호와 개인 식별 정보(PII)를 제3자 클라우드 서버에 전송할 수 있습니다. 이 취약점은 일반 최종 사용자의 개인 정보를 위험에 빠뜨릴 뿐만 아니라 조직의 관리 자격 증명 및 기타 인프라 관련 정보를 외부인이 볼 수 없게 만들 수도 있습니다.
이 취약점은 otto-js 공동 창립자이자 CTO인 Josh Summit이 회사의 스크립트 동작 감지 기능을 테스트하는 동안 발견했습니다. 테스트 중에 Samit와 otto-js 팀은 Chrome의 향상된 맞춤법 검사기 또는 Edge의 MS 편집기 기능을 올바르게 조합하면 서버로 다시 전송될 때 PII 및 기타 민감한 정보가 포함된 필드 데이터가 실수로 노출된다는 사실을 발견했습니다. Microsoft 그리고 구글. 두 기능 모두 활성화하려면 사용자의 명시적인 조치가 필요하며, 일단 활성화되면 사용자는 자신의 데이터가 제3자와 공유되고 있다는 사실을 인식하지 못하는 경우가 많습니다.
필드 데이터 외에도 otto-js 팀은 암호 뷰어 옵션을 통해 사용자의 암호가 노출될 수 있음을 발견했습니다. 사용자가 암호를 잘못 입력하는 것을 방지하는 이 옵션은 고급 맞춤법 검사 기능을 통해 실수로 암호를 타사 서버에 노출합니다.
개인 사용자만이 위험에 처한 유일한 당사자는 아닙니다. 이 취약점으로 인해 승인되지 않은 제3자에 의해 회사 자격 증명이 손상될 수 있습니다. otto-js 팀은 클라우드 서비스 및 인프라 계정에 로그인한 사용자가 자신도 모르게 자격 증명을 서버에 전송할 수 있는 방법을 보여주는 다음 예를 제공했습니다. Microsoft 또는 구글.
첫 번째 이미지(위)는 Alibaba Cloud 계정에 로그인하는 예를 보여줍니다. Chrome을 통해 로그인하면 고급 맞춤법 검사 기능이 관리자 권한 없이 쿼리 정보를 Google 서버로 보냅니다. 스크린샷(아래)에서 볼 수 있듯이 이 정보에는 회사 클라우드에 로그인하기 위해 입력한 실제 비밀번호가 포함되어 있습니다. 이러한 종류의 정보에 대한 액세스는 기업 및 고객 데이터의 절도에서 중요한 인프라의 완전한 손상에 이르기까지 모든 것을 초래할 수 있습니다.
otto-js 팀은 소셜 미디어, 사무 도구, 의료, 정부, 전자 상거래, 은행/금융 서비스를 대상으로 하는 벤치마크에 대한 테스트 및 분석을 수행했습니다. 테스트한 96개 통제 그룹 중 30% 이상이 데이터를 다시 보냈습니다. Microsoft 그리고 구글. 테스트를 거친 사이트 및 그룹 중 73%는 해당 옵션이 선택되었을 때 제자 서버에 비밀번호를 보냈습니다. 비밀번호 표시. 암호를 보내지 않은 사이트와 서비스에는 단순히 기능이 없었습니다. 비밀번호 표시 그리고 반드시 적절하게 보호되지는 않았습니다.
otto-js 팀에서 연락했습니다. Microsoft 365, Alibaba Cloud, Google Cloud, AWS, LastPass는 기업 고객에게 가장 큰 위험을 초래하는 상위 개 사이트 및 클라우드 서비스 제공업체입니다. 회사의 보안 업데이트에 따르면 AWS와 LastPass는 이미 응답하여 문제가 성공적으로 해결되었다고 보고했습니다.
당신은 우크라이나가 러시아 침략자에 맞서 싸울 수 있도록 도울 수 있습니다. 이를 수행하는 가장 좋은 방법은 다음을 통해 우크라이나 군대에 기금을 기부하는 것입니다. 세이브라이프 또는 공식 페이지를 통해 NBU.
또한 읽기:
침착하게 Firefox를 사용하십시오.
+