요즘 각종 메신저에서 보안상 취약점이 발견되어 패치되는 등 메신저의 명성에 먹칠을 하는 시즌입니다.

우리나라에서는 그리 자주 사용하는 프로그램은 아니지만 AIM에 대한 심각한 보안 취약점이 발견된 가운데 이에 대한 패치가 제대로 제공되지 않았다는 소식을 정리해서 알려 드립니다.


최근 AOL에서 제공하는 메신저인 AIM(AOL Instant Messenger)에서 보안 취약점이 발견된 적이 있습니다.

이 취약점은 지난 달에 보고된 것으로, 임베디드된 HTML 코드를 지원하는 데에서 발생하는 것으로 알려졌습니다. 즉, 메신저의 창에서 HTML 코드를 지원하는 기능에서 발생합니다.

AOL 社는  이 취약점을 해결하기 위해 최신 베타 버전에 픽스를 발표했습니다. 하지만, Aviv Raff라는 보안 전문가는 '아직도 취약점이 제대로 해결되지 않았다'고 주장하며 이에 대한 증거로 윈도우 보조 프로그램인 계산기를 실행된다는 것을 밝혔습니다.
사용자 삽입 이미지

윈도우 프로그램을 실행할 수 있다는 의미는 사용자가 로그온한 권한을 그대로 이용하여 다양한 공격을 취할 수 있다는 의미로 매우 심각한 문제점이 아닐 수 없습니다.

알려진 공격 유형은 다음과 같습니다.
  • 사용자의 개입없이 원격에서 의도된 명령어를 직접 실행.
  • IE 버그를 이용하여 직접 잇스플로잇 공격을 수행.
  • IE의 스크립트 코드를 직접 삽입.
  • 임베디드된 HTML을 사용하여 XSS 공격 수행.

관련 자료: http://blogs.zdnet.com/security/?p=542


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    최근 MS에서 제공하고 있는 MSN 메신저와 라이브 메신저에서 보안 취약점이 발표되었습니다. MS는 이러한 문제를 해결하기 위해 새로운 버전을 출시하였습니다.

    문제는 보안 취약점이 있는 기존 버전(MSN 메신전 6.2, 7.0, 7.5/라이브 메신저 8.0)으로 로그온할 때 최신 버전으로 업그레이드하라는 메시지를 보게 됩니다. 만약, 여기에서 업그레이드를 진행하지 않는 경우에는 서비스의 이용에 제한을 받게 된다고 합니다.

    꼭 업그레이드하세요!




    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory