패치되지 않은 사파리 취약점...사용자 겨냥한 공격적 추적 가능케 해

요약 : 애플의 브라우저 사파리 15에서 취약점이 발견됐다. 인덱스드DB(IndexedDB)라는 API와 관련된 것이라고 하며 아직 패치가 되지 않았다. 이 취약점은 11월 28일 핑거프린트JS(FingerprintJS)라는 업체에서 발견해 보고했다고 한다. 익스플로잇에 성공할 경우 사파리 사용자가 어느 사이트를 방문했는지 상관없이 추적을 할 수 있다고 한다. 애플은 아직 패치 일정을 발표하지 않고 있다.


배경 : 인덱스트드DB는 저수준 자바스크립트 애플리케이션 프로그래밍 인터페이스로 정형화 된 데이터들(예 : 파일)의 NoSQL 데이터베이스를 유지 및 관리하는 데에 널리 사용된다. 하지만 이번 취약점은 사파리 브라우저와의 연동성에서 발생하는 것이기 때문에 파급력이 크지는 않다.

말말말 : “사파리 15에서는 인덱스드DB가 동일 출처 정책을 위반하고 있습니다. 웹사이트와 데이터베이스가 연동될 때마다 같은 이름을 가진 다른 데이터베이스가 활성화된 프레임들에 생성이 되거든요.” -핑거프린트JS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>