Home > 전체기사
MS, 취약점 알고도 패치는 뒷전? 실제 공격 나타나
  |  입력 : 2011-03-15 15:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

임의 HTML 및 스크립트 코드 실행할 수 있어

[보안뉴스 호애진] 마이크로소프트(이하 MS)가 늑장대응을 하는 것이 아니냐는 비판이 일고 있다. 인터넷 익스플로러에 영향을 미치는 보안 취약점을 발견했음에도 불구하고 바로 패치를 하지 못했기 때문이다.


MHTML XSS 취약점이 지난 1월 발견됐다. 이에 MS가 2월 혹은 3월 정기 보안 업데이트에서 이 취약점을 보완하는 패치를 배포할 것으로 예상됐으나 포함되지 않았다.


그리고 현재 이 취약점을 악용한 공격이 등장했다. 구글의 보안팀이 이 사실을 블로그에 게재했고 자사의 사용자들을 보호하기 위한 차원으로 웹 서버상에 필터링을 통한 보안 대책을 마련했다.


이 취약점은 모든 윈도우 버전에서 교차 사이트 스크립팅(XSS) 공격 가능성을 열어주는 MHTML 프로토콜 핸들러 결함에서 생긴 것이다. MHTML은 웹페이지가 참조하는 별도의 파일(그림, 음성 등)을 인코딩해 해당 웹페이지 파일에 포함시킨 기술을 말한다.


공격자는 이 취약점을 악용해 정보 유출뿐만 아니라 사용자의 브라우저 세션에 들어가 임의 HTML 및 스크립트 코드를 실행할 수 있다. 이는 인터넷 익스플로러를 사용하는 사용자들에게만 영향을 미친다.


MS는 이 취약점이 발견됐을 당시 개념 증명 코드가 인터넷에 떠돌아다니고 있다고 언급했으며 패치가 발표되기 전까지 이 공격을 완화시키기 위한 방안으로 FixIt tool을 공개한 바 있다.

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)