2019.09.24

MS·구글, 새로운 인터넷 익스플로러 취약점 발견

Mark Hachman | PCWorld
아직도 인터넷 익스플로러를 사용하고 있다면, 조금 더 경각심을 가져 보자. 구글과 마이크로소프트가 모든 PC에 악영향을 미칠 수 있는 인터넷 익스플로러 취약점을 발견했다.

마이크로소프트는 월요일, 윈도우 7, 윈도우 8.1, 윈도우 10용 인터넷 익스플로러의 모든 버전에 존재하는 엔진 메모리 취약점인 CVE-2019-1367을 발표했다. 이 버그는 구글 위험 분석 그룹의 클레망 르시뉴가 발견했고 더 레지스터 지가 처음 보도했다. 마이크로소프트는 이 취약점이 공격자가 현재 사용자의 상황에 맞게 임의의 코드를 실행는 방식으로 메모리 손상을 가져온다고 밝혔다.

또한, 마이크로소프트는 사용자에게 미치는 영향으로 “취약점 공략에 성공한 공격자는 현재 사용자와 똑 같은 권한을 얻을 수 있다. 그 후 공격자가 프로그램을 설치해 데이터를 보고 변경하거나 삭제할 수 있으며 완전한 권한을 가진 새로운 사용자 계정을 만들 수도 있다”고 설명했다.

즉, 공격자가 사용자로 하여금 감염된 웹 페이지를 클릭하게 만들 수 있다면, 곧 전체 PC나 데이터가 위험에 처한다는 의미다.

그러나 완화책이 있다. 윈도우 서버 2008, 윈도우 서버 2008 R2, 윈도우 서버 2012, 윈도우 서버 2012 R2, 윈도우 서버 2016, 윈도우 서버 2019를 쓸 경우 인터넷 익스플로러에서 사용자가 맬웨어를 다운로드할 확률을 줄이는 제한 모드를 구동할 수 있다. 또한, 마이크로소프트는 CVE 안내 페이지에서 자바스크립트 액세스 제한을 통해 32비트, 64비트 시스템에 액세스하는 명령을 제안한다. 이들 명령은 완화책을 적용한 시스템의 기능 저하를 불러올 수 있다는 점을 고려해야 한다.

가장 안전한 해결 방법은 인터넷 익스플로러를 아예 쓰지 않는 것이다. 마이크로소프트는 2016년부터 더욱 안전하고 기능이 많은 대안으로 엣지 브라우저를 제시하고 있다. 크롬, 파이어폭스, 오페라 등의 현대 브라우저를 다운로드 받는 것도 간단한 방법이다. 즐겨찾는 사이트 목록도 쉽게 옮겨 더욱 안전한 브라우저에서 실행할 수 있다. 인터넷 익스플로러의 시대는 끝났다. 새로운 취약점도 그 증거 중 하나일 뿐이다. editor@itworld.co.kr 


2019.09.24

MS·구글, 새로운 인터넷 익스플로러 취약점 발견

Mark Hachman | PCWorld
아직도 인터넷 익스플로러를 사용하고 있다면, 조금 더 경각심을 가져 보자. 구글과 마이크로소프트가 모든 PC에 악영향을 미칠 수 있는 인터넷 익스플로러 취약점을 발견했다.

마이크로소프트는 월요일, 윈도우 7, 윈도우 8.1, 윈도우 10용 인터넷 익스플로러의 모든 버전에 존재하는 엔진 메모리 취약점인 CVE-2019-1367을 발표했다. 이 버그는 구글 위험 분석 그룹의 클레망 르시뉴가 발견했고 더 레지스터 지가 처음 보도했다. 마이크로소프트는 이 취약점이 공격자가 현재 사용자의 상황에 맞게 임의의 코드를 실행는 방식으로 메모리 손상을 가져온다고 밝혔다.

또한, 마이크로소프트는 사용자에게 미치는 영향으로 “취약점 공략에 성공한 공격자는 현재 사용자와 똑 같은 권한을 얻을 수 있다. 그 후 공격자가 프로그램을 설치해 데이터를 보고 변경하거나 삭제할 수 있으며 완전한 권한을 가진 새로운 사용자 계정을 만들 수도 있다”고 설명했다.

즉, 공격자가 사용자로 하여금 감염된 웹 페이지를 클릭하게 만들 수 있다면, 곧 전체 PC나 데이터가 위험에 처한다는 의미다.

그러나 완화책이 있다. 윈도우 서버 2008, 윈도우 서버 2008 R2, 윈도우 서버 2012, 윈도우 서버 2012 R2, 윈도우 서버 2016, 윈도우 서버 2019를 쓸 경우 인터넷 익스플로러에서 사용자가 맬웨어를 다운로드할 확률을 줄이는 제한 모드를 구동할 수 있다. 또한, 마이크로소프트는 CVE 안내 페이지에서 자바스크립트 액세스 제한을 통해 32비트, 64비트 시스템에 액세스하는 명령을 제안한다. 이들 명령은 완화책을 적용한 시스템의 기능 저하를 불러올 수 있다는 점을 고려해야 한다.

가장 안전한 해결 방법은 인터넷 익스플로러를 아예 쓰지 않는 것이다. 마이크로소프트는 2016년부터 더욱 안전하고 기능이 많은 대안으로 엣지 브라우저를 제시하고 있다. 크롬, 파이어폭스, 오페라 등의 현대 브라우저를 다운로드 받는 것도 간단한 방법이다. 즐겨찾는 사이트 목록도 쉽게 옮겨 더욱 안전한 브라우저에서 실행할 수 있다. 인터넷 익스플로러의 시대는 끝났다. 새로운 취약점도 그 증거 중 하나일 뿐이다. editor@itworld.co.kr 


X