사용자 삽입 이미지
  구글이 오늘(미국 시간으로는 어제) 발표한 웹 브라우저인 '크롬(Chrome)'은 출시 자체부터 여러가지 소식을 전하고 있습니다.

대략적으로 설치해 보고 사용해 본 느낌은 꽤 빠르다라는 것이지만, 우리나라 웹 환경의 아킬레스 건인 '액티브엑스 컨트롤'의 미지원 또한 언론에서 소개하고 있습니다.

하지만 보다 중요한 뉴스가 있는데 바로 취약점의 발견 소식입니다. 외국에 소개된 뉴스를 간략히 정리해 봅니다.

구글의 새롭게 발표한 웹 브라우저인 '크롬'에서 윈도우 사용자가 해커의 공격에 노출될 수 있는 카펫바밍(Carpet-bombing) 취약점에 약하다고 알려지고 있다. 구글 크롬이 출시된지 수 시간만에 Aviv Raff는 두 가지 취약점을 조합하여 사용할 수 있다는 사실을 발견했다. 두가지 취약점은 애플 사파리(웹킷)과 올해 블랙햇 컨퍼런스에서 언급된 Java 관련 버그이다. 이 취약점을 통해 새로운 브라우저를 열어 실행 파일을 직접 실행할 수 있다고 한다.

(주: 구글 크롬은 새롭게 개발된 웹 브라우저가 아니고, 사파리 브라우저 엔진을 렌더링 엔진으로 채택한 WebKit과 자바 v8 엔진으로 구성된 제품임)

Raff는 구글 크롭의 사용자가 실행파일을 다운로드하는 속임수에 속아 JAR(자바 압축 파일)을 보안 경고 없이 곧바로 실행하는 실제로는 해가 없는 데모를 시연하였다. 이러한 시연을 통해 이론적으로는 공격자가 사회공학적 속임수를 이용할 수 있다는 사실과 단지 마우스 클릭 두 번만으로 공격이 감행된다는 사실을 보여 주었다.

이러한 Carpet-Bombing 취약점이 발생한 원인은 구글 크롬이 채용한 사파리 버전이 3.1(WebKit 525.13)인데 이 버전에서 취약점이 그대로 노출되어 있고, 사파리 v3.12에 이르러서야 해결되었기 때문이다.

구글이 만들면 다르다 라는 신화 속에 불쑥 출현한 '구글 크롬'. 액티브 엑스 컨트롤의 지원 여부와 더불어 보안 취약점을 얼마나 신속하게 해결하느냐에 대한민국에서 소수의 브라우저로 남을지 아니면 IE의 아성을 무너 뜨릴 수있을지 기대됩니다.

감사합니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    애플이 만든 맥용 브라우저인 사파리(Safari)가 윈도우 XP/비스타에서 실행되는 버전이 며칠 전에 공개되었습니다. 실제 사용해본 사람들에 따르면, 제대로 설치가 되지 않거나, 사용하는데 버그가 많다 등의 부정적인 견해가 대부분이었습니다.

    처음 공개된 버전은 Safari 3 버전으로, 애플은 시험판 사용을 전제로 공개했었으며, 피드백을 얻기 위함이었다고 합니다.

    보안 전문가인 David Maynor는 발표된 날 오후에 6개의 보안 취약점을 발견했다고 블로그에 게재했습니다. 4개의 DOS 취약점과 2개의 원격 코드 실행 취약점이며 윈도우용 사파리 뿐만 아니라 애플 맥 OS X에서도 동작한다고 밝혔습니다. "동일한 소스를 사용하기 때문에 동일한 취약점이 발생한다"고 밝혔습니다.

    Thor Larholm은 자신의 블로그에서 2시간 동안 사파리를 다운로드하여 설치하고 사용한 결과, 특정한 웹 사이트 방문만으로도 사용자의 허락없이 명령어를 실행할 수 있는 취약점을 발견했다고 밝혔습니다.

    이러한 보안상 취약점이 다수 발견됨에 따라 애플은 새로운 버전인 Safari Beta 3.0.1을 공개했습니다. 이 버전은 퀵타임이나 iTunes와 같은 프로그램을 업데이트하는 "애플 소프트웨어 업데이트" 프로그램을 사용하거나 웹사이트에서 다운로드하여 사용할 수 있습니다.

    한 편, 애플은 Safari 3 맥용 버전에서는 이러한 보안 문제가 없다고 밝혔습니다.
    사용자 삽입 이미지


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory