VU#595768: Securly Chrome Extension은 여러 약한 암호화 및 접근 제어 취약점을 포함하고 있습니다.
Securly Chrome Extension 버전 3.0.7에는 몇 가지 치명적인 보안 취약점이 있습니다. 이러한 취약점에는 민감한 필터링 규칙에 대한 HTTP를 통한 안전하지 않은 데이터 전송이 포함됩니다. 하드코딩된 평문 AES 암호와 오래된 키 파생 방법으로 입증된 약한 암호화가 사용됩니다. 부적절한 액세스 제어는 보호된 리소스 및 민감한 구성 데이터에 대한 인증되지 않은 액세스를 허용합니다. 공격자는 이러한 약점을 악용하여 필터링 정보를 훔칠 수 있습니다. 또한 다운로드된 구성 파일을 조작하여 서비스 거부를 유발할 수도 있습니다. 더욱이 공격자는 학생 사용자를 위한 콘텐츠 차단 규칙을 수정할 수 있습니다. 한 가지 취약점은 보안 검토를 우회하는 동적으로 등록된 콘텐츠 스크립트를 포함합니다. 이 스크립트는 Securly 서버에 연결할 수 없는 경우 페이지 콘텐츠를 무기한 숨길 수 있습니다. 또한 이 확장 프로그램은 중요한 URL 일치를 위해 사용 중단된 SHA-1 해싱을 사용합니다. Securly에 패치를 요청하지는 않았지만, 관리자는 신뢰할 수 없는 네트워크에서 확장 프로그램 사용을 제한하고 학교 관리 VPN을 사용하여 위험을 완화할 수 있습니다.