최근 소프트웨어 개발 도구의 보안에 대한 관심이 증가하고 있습니다.
특히, 오픈소스 컴포넌트를 사용하는 도구들이 많아지면서
이러한 컴포넌트들에서 발견되는 취약점에 대한 우려도 함께 커지고 있습니다.
이 글은 유명한 코드 에디터의 오픈소스 컴포넌트에서 발견된 취약점에 대해 이야기합니다.
이 코드 에디터는 전 세계 개발자들 사이에서 널리 사용되고 있으며,
특히 그중 하나의 컴포넌트가 포함하고 있는 오래된 브라우저의 버전에서 발견된
여러 보안 취약점이 아직까지 해결되지 않은 채 업데이트되고 있습니다.
이러한 취약점들은 실제 공격에서 이미 이용된 바 있으며,
이를 통해 원격 코드 실행, 정보 유출, 서비스 거부 등 다양한 보안 위협이 가능해집니다.
이는 사용자의 시스템 보안을 심각하게 위협할 수 있습니다.
처음 확인이 된 (글쓴이는 해당 버전에서 처음 식별했습니다.) 1.85.2 버전부터
2024년 4월 4일 현재 사이트에서 배포 중인 1.87.2 버전에 이르기까지,
exten****. js 파일에 포함된 Fire*** 71.0 오픈소스 컴포넌트에서
5 가지 치명적인 오픈소스 취약점이 여전히 해결되지 않은 채 업데이트되고 있습니다.
5가지의 취약점 코드와 내용은 아래와 같으며,
CISA가 관리하는 알려진 이용된 취약점(KEV) 카탈로그에서 발췌하였습니다.
KEV는 미국 CiSA가 실제 공격에서 이용된 취약점들을 나열한 권위 있는 자료입니다.
이 카탈로그는 조직들이 취약점 관리를 우선순위에 두고 사이버 보안 조치를 강화하는 데 중요한 입력 정보를 제공합니다.
자세한 정보는 CISA 공식 웹사이트에서 확인할 수 있습니다 (CISA).
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Known Exploited Vulnerabilities Catalog | CISA
For the benefit of the cybersecurity community and network defenders—and to help every organization better manage vulnerabilities and keep pace with threat activity—CISA maintains the authoritative source of vulnerabilities that have been exploited in
www.cisa.gov
| CVE-2022-26486 | 2022년 3월 7일 | 웹GPU IPC 프레임워크에서 예기치 않은 메시지로 인해 발생하는 사용 후 해제(use-after-free) 취약점. 원격 공격자가 샌드박스 탈출을 시도할 수 있음. |
| CVE-2022-26485 | 2022년 3월 7일 | 웹GPU IPC 프레임워크에서 비정상적인 메시지 처리로 인한 사용 후 해제(use-after-free) 취약점. 원격 코드 실행 가능성을 내포함. |
| CVE-2020-6820 | - | 메모리 안전성 문제로 인해 발생할 수 있는 취약점. 악의적인 웹 페이지를 통해 사용자 시스템에서 임의 코드 실행을 시도할 수 있음. |
| CVE-20206819 | - | CVE-2020-6819는 특정 조건 하에서 nsDocShell destructor 실행 중 경쟁 상태로 인해 사용 후 해제(use-after-free)가 발생할 수 있는 취약점입니다. 이는 Thunderbird, Firefox, 및 Firefox ESR의 특정 버전에 영향을 미칩니다. 이 취약점은 실제 공격에서 이용되었습니다. |
| CVE-2019-17026 | - | IonMonkey JIT 컴파일러의 타입 혼동 취약점. 악의적인 JavaScript 실행을 통한 임의 코드 실행이 가능. |
자세한 취약점에 대한 정보는 아래 링크를 통해 확인해 주세요
NVD - Vulnerabilities
All vulnerabilities in the NVD have been assigned a CVE identifier and thus, abide by the definition below. CVE defines a vulnerability as: "A weakness in the computational logic (e.g., code) found in software and hardware components that, when exploited,
nvd.nist.gov
해당 취약점 5가지는 코드 에디터에 포함된 exten****. js 파일에
오픈소스 컴포넌트인 Fire*** 71.0에 포함되어 있으며,
이미 해커에게 공격당하여 빠르게 패치를 하라고 권고한 취약점입니다.
아래는 exten****. js 파일이 해당 코드 에디터에서 어떤 역할을 하는지 인공지능 챗 지피티에게 문의해 봤습니다.
추가적으로 ChatGPT는 해당 이슈에 대해 이렇게 이야기하고 있습니다.
| 해당 컴포넌트에서 발견된 취약점을 통해 공격자는 원격 코드 실행, 정보 유출, 서비스 거부(DoS) 공격 등 다양한 위협을 가할 수 있습니다. 이는 사용자 시스템의 보안을 심각하게 위협하며, 공격자에게 시스템 제어권을 부여할 수도 있습니다. |
현재 제 주변에 있는 모든 개발자가 해당 소프트웨어를 사용 중에 있습니다.
이는 엄청난 취약점이며, 고쳐져야 하는 사안으로
제 지인에게는 다른 개발 도구를 추천드리고 있습니다.
소프트웨어의 보안은 그 어느 때보다 중요하며,
특히 오픈소스 컴포넌트의 취약점은 개발자와 사용자 모두에게 심각한 위협이 될 수 있습니다.
오픈소스 컴포넌트의 취약점을 주의 깊게 관리하는 것은 소프트웨어 개발의 중요한 부분입니다.
주변 친구들이 해당 소프트웨어를 사용 중이라면 해당 내용을 공유해 주시길 바랍니다.
사용 중인 도구들이 최신 상태로 유지되고 보안 위협으로부터 보호되도록,
적극적으로 패치 적용과 보안 권장 사항을 따르는 것이 필수적입니다.
이런 실천을 통해 우리는 더 안전한 디지털 환경을 조성할 수 있습니다.
해당 이슈에 대해서는 고객센터 팀에게 위와 같이 메일을 보내 놓은 상태입니다.
궁금하신 사항은 댓글에 남겨주세요
댓글에 남겨주신 내용은
추후 정리해서 올려드리겠습니다
구독 신청하시면 업로드 시 알려드릴게요!
-
조금이라도 도움이 되셨다면
공감&댓글 부탁드리겠습니다
감사합니다!
'보안 소식' 카테고리의 다른 글
| SW 공급망보안 가이드라인 1.0 해설서 (3) | 2024.05.20 |
|---|---|
| 메타에서 만든 스레드 (Meta Thread)는 무엇이며, 보안에 문제는 없을까? (0) | 2023.12.19 |
| 아이폰 신속 보안 대응 업데이트란? (0) | 2023.07.31 |