extremely critical 보안문제!

Mozilla Firefox 사용에 대한 일반적인 질문과 답을 해 주는 게시판입니다. 질문을 하기 전에 FAQ를 읽어 보시는게 도움이 될 것입니다.
Post Reply
mmi

extremely critical 보안문제!

Post by mmi »

파이어폭스에서 치명적 보안결함 발견

<아이뉴스24>
오픈 소스 브라우저인 파이어폭스에 치명적인 보안 결함이 발견됐다고 C넷이 9일(현지 시간) 보안업체인 시큐니아(Secunia)를 인용 보도했다.

시큐니아는 파이어폭스 1.0.3 버전에서 해커에 의해 원격 조종되는 크로스사이트스크립팅(Cross Site Scripting)과 원격 시스템 접속 결함이 발견됐다고 경고했다. 특히 이 결함은 다른 버전에도 영향을 미칠 수 있는 것으로 알려졌다.

시큐니아는 이번에 파이어폭스에서 발견된 결함이 '매우 치명적(extremely critical)'이라고 평가했다.

이번에 발견될 결함 중 하나는 '아이프레임(IFRAME)' 자바 스크립트 URL과 관계 있다. 이전에 방문했던 다른 URL에서 실행했던 정보를 제대로 보호하지 못한다는 것.

시큐니아의 토마스 크리스텐센 최고기술책임자(CTO)는 "악성 웹 사이트를 방문할 경우에는 이전에 방문했던 다른 사이트에서 당신의 쿠키 정보를 훔칠 수도 있다"고 경고했다. 이렇게 한 뒤 ID나 암호를 빼낼 경우엔 치명적인 피해를 입을 수도 있다고 그는 설명했다.

또 다른 결함은 인스톨트리거.인스톨(InstallTrigger.install)의 아이콘 URL에서 발견됐다.

이 결함을 보완하기 위해선 모질라 업데이트 서비스를 이용해야 한다. 모질라 재단은 또 당분간 자바스크립트를 작동하지 말라고 권고했다.



*********************************


아직 이 문제 패치 안 ㅤㄷㅚㅆ습니까?
Top
f

출처

Post by f »

http://news.inews24.com/php/news_view.p ... enu=020600
Top
User avatar
XviD
해커
해커
Posts: 664
Joined: 2004 11 14 14:55 45
Location: 사막의 오아시스
Contact:
Contact XviD

Post by XviD »

호.. 이번에는 꽤나 심각한 수준의 치명적인 보안 결함이네요.

Mozilla Firefox Two Vulnerabilities - Secunia

이번 보안 결함이 해결될 때까지 다음 두 가지 임시적인 문제 해결 방법을 제시하고 있습니다.

1. 자바스크립트를 사용하지 마세요! : [도구] → [설정] → [웹 주요 기능] → '자바스크립트 사용' 체크 해제!
2. 소프트웨어 설치 기능을 사용하지 마세요! : [도구] → [설정] → [웹 주요 기능] → '소프트웨어를 설치할 웹사이트 허가' 체크 해제!

이와 관련된 모질라 재단에서 권고하는 해결 방법은 아래에 자세히 나와 있습니다.

Mozilla Foundation Security Advisory 2005-42

이 문제는 현재 버그질라에 보고되어 해결책을 마련 중에 있습니다.
Top

Post by »

XviD wrote:2. 소프트웨어 설치 기능을 사용하지 마세요! : [도구] → [설정] → [웹 주요 기능] → '소프트웨어를 설치할 웹사이트 허가' 체크 해제!
"체크 해제" 가 아니라 "체크"를 해야 하는 것 아닌가요?
그리고 나서, [허가된 사이트] -> [모든 사이트 지우기] -> [확인] 해아 하는 것 아닌지요?

'소프트웨어를 설치할 웹사이트 허가' 란 뜻이 '허가된 웹사이트에서만 소프트웨어 설치' 이런 뜻 아닌가요?
제가 잘 못 알고 있었나요?
Top
User avatar
XviD
해커
해커
Posts: 664
Joined: 2004 11 14 14:55 45
Location: 사막의 오아시스
Contact:
Contact XviD

Post by XviD »

군 wrote: '소프트웨어를 설치할 웹사이트 허가' 란 뜻이 '허가된 웹사이트에서만 소프트웨어 설치' 이런 뜻 아닌가요?
제가 잘 못 알고 있었나요?
Firefox 한국어 버전을 기준으로 한 것입니다.
군 wrote:"체크 해제" 가 아니라 "체크"를 해야 하는 것 아닌가요?
Disable 또는 Uncheck라고 되어 있는데 체크를 해버리면 큰일 나지요.-_-;;
군 wrote:그리고 나서, [허가된 사이트] -> [모든 사이트 지우기] -> [확인] 해아 하는 것 아닌지요?
그 부분은 '2. 소프트웨어 설치 기능을 사용하지 마세요!' 방법을 위에 모질라 재단에서 보다 자세히 설명한 부분입니다. 다시 한 번 이해하면서 읽어 보세요.
Last edited by XviD on 2005 05 10 17:15 58, edited 1 time in total.
Top

Post by »

제가 잘 못 알고 있었습니다.
XviD wrote:2. 소프트웨어 설치 기능을 사용하지 마세요! : [도구] → [설정] → [웹 주요 기능] → '소프트웨어를 설치할 웹사이트 허가' 체크 해제!
하면 소프트웨어 설치 자체가 안되는 것이었습니다.
Top

Post by »

궁금한게 또 있는데요..

2번째 취약점에 대비를 안 해 두면, 악성스크립트를 만날 경우 아무 대화상자도 뜨지 않고, 확장이 설치될 수 있나요?
Top
소프트원트

Post by 소프트원트 »

군 wrote:궁금한게 또 있는데요..

2번째 취약점에 대비를 안 해 두면, 악성스크립트를 만날 경우 아무 대화상자도 뜨지 않고, 확장이 설치될 수 있나요?
두 가지 모두 자바스크립트와 관련되어 있습니다. 그래서 자바스크립트 기능을 꺼놓으면 됩니다.

ㅁ frame와 자바스크립트삽입관련

소프트웨어를 설치하려면 사용자 개입없이는 불가능하다.

ㅁ 소프트웨어 설치 허용 대화창 관련

사용자 개입없이 소프트웨어가 설치될 수 있다.
그러나 공격자가 허용 사이트를 알고있어야 한다. 모질라 재단측 서버는 이 때문에 현재 변경되었다. 모질라 재단측 서버는 기본으로 허용목록에 등록되기 때문이다.

따라서 웹사이트 소프트웨어 설치 허용을 중지시키거나 모질라재단 서버를 제외한 목록을 일단 제거하면 된다.
Top
Post Reply

Return to “Mozilla Firefox”



Who is online

Users browsing this forum: No registered users and 1 guest