'Carpet-Bombing'에 해당되는 글 1건

  1. 2008.09.03 구글 크롬, 나온지 하루만에 보안 취약점 발견돼
사용자 삽입 이미지
  구글이 오늘(미국 시간으로는 어제) 발표한 웹 브라우저인 '크롬(Chrome)'은 출시 자체부터 여러가지 소식을 전하고 있습니다.

대략적으로 설치해 보고 사용해 본 느낌은 꽤 빠르다라는 것이지만, 우리나라 웹 환경의 아킬레스 건인 '액티브엑스 컨트롤'의 미지원 또한 언론에서 소개하고 있습니다.

하지만 보다 중요한 뉴스가 있는데 바로 취약점의 발견 소식입니다. 외국에 소개된 뉴스를 간략히 정리해 봅니다.

구글의 새롭게 발표한 웹 브라우저인 '크롬'에서 윈도우 사용자가 해커의 공격에 노출될 수 있는 카펫바밍(Carpet-bombing) 취약점에 약하다고 알려지고 있다. 구글 크롬이 출시된지 수 시간만에 Aviv Raff는 두 가지 취약점을 조합하여 사용할 수 있다는 사실을 발견했다. 두가지 취약점은 애플 사파리(웹킷)과 올해 블랙햇 컨퍼런스에서 언급된 Java 관련 버그이다. 이 취약점을 통해 새로운 브라우저를 열어 실행 파일을 직접 실행할 수 있다고 한다.

(주: 구글 크롬은 새롭게 개발된 웹 브라우저가 아니고, 사파리 브라우저 엔진을 렌더링 엔진으로 채택한 WebKit과 자바 v8 엔진으로 구성된 제품임)

Raff는 구글 크롭의 사용자가 실행파일을 다운로드하는 속임수에 속아 JAR(자바 압축 파일)을 보안 경고 없이 곧바로 실행하는 실제로는 해가 없는 데모를 시연하였다. 이러한 시연을 통해 이론적으로는 공격자가 사회공학적 속임수를 이용할 수 있다는 사실과 단지 마우스 클릭 두 번만으로 공격이 감행된다는 사실을 보여 주었다.

이러한 Carpet-Bombing 취약점이 발생한 원인은 구글 크롬이 채용한 사파리 버전이 3.1(WebKit 525.13)인데 이 버전에서 취약점이 그대로 노출되어 있고, 사파리 v3.12에 이르러서야 해결되었기 때문이다.

구글이 만들면 다르다 라는 신화 속에 불쑥 출현한 '구글 크롬'. 액티브 엑스 컨트롤의 지원 여부와 더불어 보안 취약점을 얼마나 신속하게 해결하느냐에 대한민국에서 소수의 브라우저로 남을지 아니면 IE의 아성을 무너 뜨릴 수있을지 기대됩니다.

감사합니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory