안녕하세요, IT 분석 전문가입니다. 오늘은 Arc 브라우저에서 발견된 치명적인 보안 결함에 대해 이야기해보려고 합니다. 🤔
보안 연구원의 발견
한 보안 연구원이 Arc 브라우저에서 ‘심각한’ 취약점을 발견했어요. 이 취약점은 공격자가 다른 사용자의 브라우저 세션에 임의의 코드를 삽입할 수 있게 해주는 것이었죠. 😱 사용자의 ID만 있으면 쉽게 공격이 가능했습니다.
취약점의 원인
이 취약점은 The Browser Company가 Firebase를 잘못 구성한 데서 비롯되었습니다. Firebase는 사용자 정보를 저장하는 ‘데이터베이스-백엔드 서비스’인데요, 여기에서 문제가 발생했어요.
Arc Boosts 기능
Arc에는 ‘Boosts’라는 기능이 있어요. 이 기능을 통해 사용자는 방문하는 웹사이트의 외관을 사용자 정의할 수 있습니다. 그런데 이 기능이 문제의 핵심이었죠. Boosts는 사용자 정의 CSS와 자바스크립트를 실행할 수 있게 해주는데, 이게 보안 문제를 일으켰습니다. 🛡️
취약점의 작동 원리
Firebase ACLs(액세스 제어 목록)가 잘못 구성되어 사용자 ID만 있으면 누구든지 Boost 생성자의 ID를 변경할 수 있었어요. 이렇게 해서 다른 사용자에게 임의의 코드를 실행하도록 할 수 있었습니다. 😓
회사의 대응
다행히 The Browser Company는 빠르게 대응했습니다. 이 취약점은 8월 26일에 패치되었고, 오늘 보안 연구원 xyz3va의 블로그 포스트와 회사의 성명서에서 공개되었습니다. 회사는 로그를 확인한 결과, 이 결함으로 영향을 받은 사용자는 없었다고 해요.
향후 계획
회사는 보안 강화를 위해 여러 가지 조치를 취할 계획입니다. 버그 바운티 프로그램을 도입하고, Firebase를 사용하지 않기로 했으며, 추가 보안 인력을 고용할 예정입니다. 🔒
더 자세한 내용은 여기에서 확인하세요.
