Page 1 of 1

파이어폭스 보안 결함. ..불안해서 쓰겠나

Posted: 2006 11 24 21:09 13
by 후덜덜
모질라(Mozilla)의 파이어 폭스(Firefox)2와 마이크로소프트(MS)의 IE7이 모두 부분적인 결함으로 인해 사용자들의 로그인시 암호를 타인이 빼가는 것을 허용할 수도 있다는 사실이 밝혀졌다.

로버트 채핀(Robert Chapin)이 발견해 RCSR이라고 명명된 이 결함은 해커들이 사용자들에게 거짓 로그인 페이지를 제공할 수 있게끔 허용하여, 사용자들의 아이디와 암호의 유출을 가능케 한다. 「파이어 폭스 패스워드 매니저」는 이 거짓 페이지에서도 사용자가 저장해 놓도록 설정한 아이디나 암호를 자동적으로 기입하기 때문이다.

채핀 정보 서비스(Chapin Information Services: CIS) 사이트에 따르면 이 데이터는 사용자도 모르게 자동적으로 공격자의 컴퓨터로 전송된다. 이러한 결함으로 인한 사이트 침범은 이미 소셜 네트워킹 사이트인 마이스페이스닷컴(Myspace.com)에서 발생한 바 있다.

사용자 생성 HTML 코드를 추가할 수 있는 블로그나 포럼이라면 모두 영향을 받을 수 있는 것이라고 채핀은 설명했다. 파이어 폭스 및 익스플로러의 사용자들은 믿을 만한 포럼이나 블로그를 방문하는 과정에서도 자신의 정보가 유출될 수 있다는 것이다.

마이스페이스에서 사용된 해킹 행위를 발견했던 보안 업체 넷크래프트(Netcraft)는 이 당시 회사 자체 서버에 가짜 로그인 페이지가 설치돼 있었다고 밝혔다.

이 가짜 페이지가 크로스 사이트 스크립팅(XSS) 또는 오픈 리다이렉트(open redirects)와 같은 외부 침입의 흔적이 보이지 않는 것으로 보아 “매우 속기 쉽고, 심지어는 보안에 매우 민감한 사용자들까지도 피해자가 될 위험이 있다” 라고 CIS는 설명했다.

이번 공격은 프로파일 페이지에서 런칭되었고, 특수제작된 HTML을 사용하여 기존의 마이스페이스 콘텐트를 숨기고, 그들이 자체적으로 제작한 로그인 형식을 노출시키는 방법으로 진행되었다.

채핀에 의하면, IE나 파이어 폭스 모두 사용자가 작성하기 이전에 그 형식 데이터의 최종 목적지가 어디인지 확인하도록 설계되어 있지 않기 때문에 RCSR의 공격이 XSS의 공격보다 더욱 성공하기 쉽다. 신뢰가 보장되는 웹 사이트에서 침입이 이루어지기 때문에 브라우저도 경고음을 울리지 않는다.

2주 전, CIS는 파이어 폭스 웹 브라우저가 RCSR 형식에서도 자동적으로 사용자 이름과 암호를 기입하게끔 되어 있다고 모질라에 보고했다. 공격은 파이어 폭스에서 더 용이하게 일어날 가능성이 높다.

왜냐하면 IE에서는 RCSR이 정식 로그인 형식과 같은 페이지에 등장하지 않는 이상 가짜 페이지에서 미리 저장되어 있도록 설정해 놓은 사용자 이름이나 암호가 파이어 폭스와는 달리 자동적으로 기입되지 않기 때문이다.

지금 이 글을 적는 이 시점까지 파이어 폭스에서 내놓은 방안은 아직 없다. 다만 버그 리포트는 보고된 것으로 전해진다. 모질라가 파이어 폭스 2에서 이러한 일이 발생하지 않도록 개선작업을 진행 중이라는 소식은 들리지만, 이전 버전 또한 이와 관련한 개선 작업이 진행이 될 것인지 여부에 대해서는 확실하지가 않다.

보안업체 세큐니아(Secunia)는 사용자들에게 파이어 폭스 설정에서 「암호 기억하기」기능을 사용하지 않을 것을 권했다.

이 결함을 이용하기 위해 해커들은 신뢰 있는 웹사이트에 가짜 로그인 형식을 만들어야 한다. CIS는 모든 웹마스터들, 특히 암호인증된 웹사이트 관리자들에게 XSS와 RCSR의 주입을 대비해서 그들의 서버코드를 점검하도록 권장하고 있다.

“이러한 공격들은 파이어 월이 설정되어 있는 로컬 네트워크 서버들과, 달리 접근할 방법이 별로 없는 HTTPS 주소들에 더 큰 영향을 줄 수 있다. 왜냐하면 공격자들은 직접적인 접속이 필요치 않기 때문이다.” 라고 CIS는 밝혔다. @



Tom Espiner ( CNET News.com )


[ 저작권자 ⓒ ZDNet Korea, CNET Korea,Inc. 무단 전재 및 재배포 금지, ZDNet Korea는 글로벌 IT 미디어 리더 CNET Networks의 브랜드입니다. ]

Re: 파이어폭스 보안 결함. ..불안해서 쓰

Posted: 2006 11 24 21:43 36
by XviD
Secunia가 발표한 취약점인데 빨리 패치되어야 할 것입니다.

패치가 될 때까지 암호 기억 기능을 사용하는 분들은 당분간 [도구]-[설정]-[보안]에서 '사이트에 입력하는 암호 기억(Remember passwords for sites)' 기능을 체크 해제 하고 사용하세요.

위험 수준은 낮은 편입니다.

http://secunia.com/product/12434/?task=advisories

IE7은 이외의 문제로 위험하군요.

http://secunia.com/product/12366/?task=advisories