요즘 각종 메신저에서 보안상 취약점이 발견되어 패치되는 등 메신저의 명성에 먹칠을 하는 시즌입니다.

우리나라에서는 그리 자주 사용하는 프로그램은 아니지만 AIM에 대한 심각한 보안 취약점이 발견된 가운데 이에 대한 패치가 제대로 제공되지 않았다는 소식을 정리해서 알려 드립니다.


최근 AOL에서 제공하는 메신저인 AIM(AOL Instant Messenger)에서 보안 취약점이 발견된 적이 있습니다.

이 취약점은 지난 달에 보고된 것으로, 임베디드된 HTML 코드를 지원하는 데에서 발생하는 것으로 알려졌습니다. 즉, 메신저의 창에서 HTML 코드를 지원하는 기능에서 발생합니다.

AOL 社는  이 취약점을 해결하기 위해 최신 베타 버전에 픽스를 발표했습니다. 하지만, Aviv Raff라는 보안 전문가는 '아직도 취약점이 제대로 해결되지 않았다'고 주장하며 이에 대한 증거로 윈도우 보조 프로그램인 계산기를 실행된다는 것을 밝혔습니다.
사용자 삽입 이미지

윈도우 프로그램을 실행할 수 있다는 의미는 사용자가 로그온한 권한을 그대로 이용하여 다양한 공격을 취할 수 있다는 의미로 매우 심각한 문제점이 아닐 수 없습니다.

알려진 공격 유형은 다음과 같습니다.
  • 사용자의 개입없이 원격에서 의도된 명령어를 직접 실행.
  • IE 버그를 이용하여 직접 잇스플로잇 공격을 수행.
  • IE의 스크립트 코드를 직접 삽입.
  • 임베디드된 HTML을 사용하여 XSS 공격 수행.

관련 자료: http://blogs.zdnet.com/security/?p=542


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    AOL은 2006년에 카스퍼스키 안티 바이러스 엔진을 번들로 하는 무료 안티 바이러스 패키지인 액티브 바이러스 쉴드(Active Virus Shield)를 제공하기 시작했습니다. 아마 국내에도 많은 사람이 이 제품을 사용하는 것으로 알고 있습니다.

    하지만, 이제 이 소프트웨어의 배포를 중지하기로 결정했다는 소식입니다. 해당 웹 페이지를 방문해보면, 간단하게 중지된다는 내용을 보여 줍니다.

    그리고, 맥아피의 Virus Scan Plus 특별판을 제공한다고 합니다. 새로운 웹 페이지를 방문해 보세요.

    예전에 작성했던 관련 기사 링크: http://www.moonslab.com/402


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      AOL에서는 보안 벤더인 McAfee의 VirusScan Plus 특별판을 포함하는 새로운 보안 서비스를 무료로 제공합니다. 이 서비스는 AOL Internet Security Central이라고 부르며, 다양한 보안 기능을 제공합니다.

      McAfee에서 제공하는 VirusScan Plus 특별판은 안티 스파이웨어, 방화벽 기능 등 PC 전체를 보호해 줍니다. 또한, 이 서비스는 AOL 또는 AIM에 계정을 가진 사용자에게 무료로 제공됩니다.
      사용자 삽입 이미지

      AOL Internet Security Central에서 제공하는 기능은 다음과 같습니다.
      • AOL Parental Controls - 자녀들이 온라인 상 유해 매체에 접근할 수 없도록 해줍니다. 특정한 메신저로 제한하거나 사용시간 제한 그리고 자녀가 사용한 내역을 이메일 보고서로 제공합니다.
      • Computer Check-Up - 30 개 이상의 PC 및 인터넷 문제점을 찾아내어 고칠 수 있습니다.
      • Active Security Monitor -  컴퓨터 바이러스, 스파이웨어,  계정 정보 누출, 네트워크 침입 등 다양한 네트워크 위협으로부터 사용자가 어떻게 보호되고 있는지 쉽게 알 수 있는  수단을 제공합니다.
      • Phishing Protection - AOL 9.0 또는 AOL에서 무료로 제공하는 소프트웨어를 사용하는 사용자는 피싱 공격을 차단할 수 있습니다.
      • Spam Protection - 키워드, 사용자 등을 기반으로 정크메일을 분류할 수 있습니다.
      • Web Pop-up Controls - 웹 광고로 자주 사용되는 팝업창을 안보이게 합니다.

      포탈에서 무료 백신을 시대를 넘어서 이제는 통합 보안 솔루션까지 무료로 제공하는 시대가 온 것 같습니다. 우리나라에서도 무료로 제공되는 서비스가 있으면 좋겠네요. ㅎㅎ

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        사용자 삽입 이미지
        미국의 유명한 포탈인 AOL(http://www.aol.com)에서 사용자가 로그인할 때 입력하는 비밀번호에 대한 취약점이 한 사용자에 의해 발견되었다.

        이 사람은 비밀번호를 입력하던 중에 실수로 비밀번호 뒤에 추가적인 글자를 입력하고 로그온이 되었다는 것을 알게 되었고, 이를 바탕으로 하나하나 테스트해 본 결과 다음과 같은 결론에 도달했다고 한다.

        AOL의 비밀번호는 최대 16자이고, 사용자가 입력할 때 8자 이상 입력한 부분은 모두 무시하도록 처리된다.

        한 편, AOL의 대변인인 Andrew Weinstein은 이러한 사실을 인정하였으나, 추가적인 언급을 하지 않았다고 한다.

        출처: http://blog.washingtonpost.com/securityfix/2007/05/aols_password_puzzler.html?nav=rss_blog

        참고로, 댓글에서는 다양한 의견이 달리고 있으며, Amazon.com도 동일한 현상이 나온다고 합니다. ㅎㅎ
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory