SECURITY

SAFETY

보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

MS, 취약점 알고도 패치는 뒷전? 실제 공격 나타나

입력 : 2011-03-15 15:11

임의 HTML 및 스크립트 코드 실행할 수 있어

[보안뉴스 호애진] 마이크로소프트(이하 MS)가 늑장대응을 하는 것이 아니냐는 비판이 일고 있다. 인터넷 익스플로러에 영향을 미치는 보안 취약점을 발견했음에도 불구하고 바로 패치를 하지 못했기 때문이다.

MHTML XSS 취약점이 지난 1월 발견됐다. 이에 MS가 2월 혹은 3월 정기 보안 업데이트에서 이 취약점을 보완하는 패치를 배포할 것으로 예상됐으나 포함되지 않았다.

그리고 현재 이 취약점을 악용한 공격이 등장했다. 구글의 보안팀이 이 사실을 블로그에 게재했고 자사의 사용자들을 보호하기 위한 차원으로 웹 서버상에 필터링을 통한 보안 대책을 마련했다.

이 취약점은 모든 윈도우 버전에서 교차 사이트 스크립팅(XSS) 공격 가능성을 열어주는 MHTML 프로토콜 핸들러 결함에서 생긴 것이다. MHTML은 웹페이지가 참조하는 별도의 파일(그림, 음성 등)을 인코딩해 해당 웹페이지 파일에 포함시킨 기술을 말한다.

공격자는 이 취약점을 악용해 정보 유출뿐만 아니라 사용자의 브라우저 세션에 들어가 임의 HTML 및 스크립트 코드를 실행할 수 있다. 이는 인터넷 익스플로러를 사용하는 사용자들에게만 영향을 미친다.

MS는 이 취약점이 발견됐을 당시 개념 증명 코드가 인터넷에 떠돌아다니고 있다고 언급했으며 패치가 발표되기 전까지 이 공격을 완화시키기 위한 방안으로 FixIt tool을 공개한 바 있다.

등록번호 : 서울 아00181 | 등록/발행연월일 : 2006년 3월 17일 | 상호 : (주)더비엔 | 사업자등록번호 : 407-86-00506 | 대표 : 최정식, 최소영

주소 : 서울시 마포구 마포대로 25 (마포동, 신한디엠빌딩 13층) (우. 04167) | 전화 : 02-719-6931 | 팩스 : 02-715-8245 | E-mail : helpdesk@boannews.com

「열린보도원칙」 당 매체는 독자와 취재원 등 뉴스이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알려드립니다.
고충처리인 권 준(editor@boannews.com)

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)