ToDesktop 빌드 컨테이너에서 심각한 취약점 발견
2025-02-28
보안 연구원이 AI 텍스트 에디터 Cursor의 설치 프로그램을 조사하는 과정에서, 의존하고 있는 Electron 앱 번들러 서비스 ToDesktop에서 심각한 취약점을 발견했습니다. 리버스 엔지니어링과 취약점 악용을 통해 연구원은 ToDesktop 빌드 컨테이너를 완전히 제어하고 애플리케이션 서명 및 업로드에 사용되는 민감한 키를 포함한 Firebase 데이터베이스에 액세스할 수 있었습니다. 이를 통해 수백만 명의 사용자에게 악성 업데이트를 배포하고 원격 코드 실행(RCE)을 수행할 가능성이 있었습니다. ToDesktop은 신속하게 대응하여 취약점을 수정하고 연구원의 기여를 인정했습니다. 이번 사건은 소프트웨어 공급망 보안에서 지속적인 경계와 개선의 필요성을 강조합니다.
기술