MS, 8년 묵은 IE 버그 조사 중

Gregg Keizer | Computerworld 2010.09.08

마이크로소프트가 사용자의 데이터와 웹 계정에 접속할 수 있도록 한다고 오랫동안 알려져 온 인터넷 익스플로러(IE) 취약점을 조사하고 있다고 밝혔다.

 

구글의 보안 엔지이너 크리스 에반스에 따르면, 이 버그는 해커들이 사용자의 웹 메일 계정을 하이재킹하여 데이터를 훔치고 무단으로 트윗을 올린다.

 

에반스는 IE8의 이 결함이 사용자의 트위터 계정을 찾아내 무단으로 트윗을 올리는 방법을 시연했다.

 

‘CSS 크로스 오리진 절취’로 알려져 있는 이 취약점은 오래된 역사를 가지고 있다. 최근 이 주제에 대한 보고서를 발표한 카네기 멜론 대학의 연구원에 따르면, 이 취약점이 처음 발견된 것은 2002년이다. 다음 달 컴퓨터 및 커뮤니케이션 보안 컨퍼런스(Conference on Computer and Communications Security)에서 정식으로 이 보고서가 발표될 예정이다.

 

하지만 이 취약점은 2009년 에반스가 블로그에 올리기 전 까지 많은 주목을 받지 못했다. 8달 전에는 크롬의 해당 버그에 대한 내용을 보고한 바 있다.

 

마이크로소프트는 IE8의 이 취약점을 아직 패치하지 않은 반면, 파이어폭스나 크롬, 사파리, 오페라 등은 패치했다. 구글은 지난 1월에 크롬의 해당 버그를 패치했고, 모질라는 지난 7월에 파이어폭스 3.6.7과 파이어폭스 3.5.11에 있는 버그를 수정했다.

 

오는 9월 15일 공개 베타가 출시될 예정인 IE9에는 이 취약점이 패치됐다.

 

에반스는 “이슈를 수정하도록 업체를 압박하지 못했다”라면서, PoC(proof-of-concept)를 만들어 패치를 서두르게 한 이유에 대해서 설명했다.

 

마이크로소프트는 에반스의 보고에 대해서 조사를 진행 중이라고 말했으나, IE8 이전의 브라우저도 취약한지, 왜 아직 버그를 수정하지 않았는지에 대한 질문에는 대답을 피했다.

 

MSRC(Microsoft Security Response Center)의 관리자인 제리 브라이언트는 “아직까지는 이 취약점으로 인해 피해를 입은 사례를 발견하지 못했다”라고 전했다.

 

지난 8월 에반스는 IE8이 이 취약점에 가장 위험하다고 지적한 바도 있어, 마이크로소프트에게는 에반스의 이번 보고가 새롭지는 않을 것이다. 당시 에반스는 웹 계정을 조절할 수 있는 PoC를 보유하고 있으며, “난처한 공격”이라고 표현했다. “이메일 속 링크를 클릭하면, CSS 크로스 오리진 버그를 보유하게 된다”라고 설명했다.

 

구글의 직원이 마이크로소프트의 소프트웨어에 대한 취약점을 밝힌 것은 과거에도 여러 번 있었다. 지난 여름 구글 보안 연구원인 트래비스 오만디는 마이크로소프트에 제시한 기한까지 패치를 하지 않았다면서, 윈도우 취약점을 공개한 바 있다. 마이크로소프트는 오만디의 버그를 1달 앞당겨 패치했다.

 

브라이언트는 “컴퓨터 사용자의 피해를 최소화 하기 위해서 마이크로소프트는 취약점 발견에 협력하도록 격려하고 있다”라면서, 취약점 패치가 나오기 전 까지 취약점 정보를 비밀로 한다는 마이크로소프트의 새로운 정책에 대해서 언급했다. gkeizer@ix.netcom.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.