'VUPEN Security'에 해당되는 글 1건

  1. 2010.12.11 인터넷 익스플로러, 보안의 동네북(!)
마이크로소프트에서 발생하고 있는 대부분의 취약점은 윈도우 운영체제, IE, 그리고 오피스 제품에서 발생하고 있습니다. 이 중에서 사용자가 필수적으로 설치해 사용할 수 밖에 없는 운영체제와 IE에서 발생하는 취약점이 가장 큰 문제를 야기한다고 볼 수 있습니다.

올해 12월 마지막 MS 보안 업데이트에서는 총 17가지의 유형의 취약점으로 세부적으로는 40개의 취약점을 해결하고 있습니다. 이번 취약점은 다음주 화요일(미국 기준)에 업데이트가 출시될 예정입니다.

하지만, 인터넷 익스플로러에 대한 제로데이 취약점에 대한 새로운 보고서가 제출되어 마이크로소프트가 조사에 착수했다는 소식이 있습니다.

12월 8일 이미 이 취약점을 이용하는 익스플로잇 코드가 Full Disclosure 메일링 리스트에 공개되었습니다. 이 취약점은 윈도우 7, 비스타와 같은 거의 모든 운영체제에서 동작하는 인터넷 익스프롤러 6, 7, 8에서 발견되고 있습니다.

현재 이 취약점을 해결하는 패치는 당연히 없으며, VUPEN Security라는 보안 벤더의 분석에 따르면 취약점을 통해 공격자는 취약한 시스템의 전체적인 권한을 장악할 수 있습니다.

이 문제는 다양한 '@import' 규칙을 포함하고 있는 CSS(Cascading Style Sheets)를 참조하는 웹페이지를 처리하는 'mshtml.dll' 파일에서 발생하는 것으로 특별하게 조작한 웹 페이지를 통해 의도한 코드를 원격에서 실행할 수 있습니다. 이 취약점의 강도는 '치명적'인 것으로 평가되고 있으며, 윈도우 7, 윈도우 비스타 SP2 및 윈도우 XP SP3에서 IE 8, 윈도우 XP SP3에서 IE 6/7에서 발생하는 것을 확인했다고 VUPEN에서 전하고 있습니다.

<code> <div style="position: absolute; top: -999px;left: -999px;">
<link href="css.css" rel="stylesheet" type="text/css" />
</code>
 <code of css.css> *{ color:red; }
@import url("css.css");
@import url("css.css");
@import url("css.css");
@import url("css.css");
</code>

마이크로소프트의 대응 통신 그룹장인 Jerry Bryant는 최근의 IE 버그를 대상으로하는 어떠한 공격에 대해서 알려진 바가 없다고 밝혔으며, 새로운 취약점을 조사하게 되면 고객을 보호하기 위한 적절한 조치를 취할 것이라고 합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory