독일 정부, MS 익스플로러 사용을 경고하다.
글쓴이: 불편한웹 / 작성시간: 월, 2010/01/18 - 5:49오후
중국 측의 구글 해킹이 IE의 보안 취약성과 관련있기 때문에 보안 패치가 나올 때까지 IE의 모든 버전을 사용하지 말라고 경고했다는군요.
기사가 8천개 가량 나오는군요.
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=BSI
Germany warns against using Microsoft Internet Explorer
German Internet security office warns of "critical" flaws in Internet Explorer
한국 기사
http://www.hani.co.kr/arti/economy/it/399557.html
http://www.hani.co.kr/arti/international/europe/399339.html
http://itnews.inews24.com/php/news_view.php?g_serial=470260&g_menu=020600
http://news.mk.co.kr/newsRead.php?sc=30000022&cm=%EC%82%AC%ED%9A%8C%20%EC%A3%BC%EC%9A%94%EA%B8%B0%EC%82%AC&year=2010&no=27843&selFlag=&relatedcode=&wonNo=&sID=504
Forums:
프랑스도
프랑스도 가세했습니다. 하지만 한국은 여전히 "인터넷뱅킹처럼 보안을 신경써야 할 일을 하려면 역시 윈도우즈와 IE가 최고지!"의 시대.......
news.google.com에서
news.google.com에서 검색해보니 정말 프랑스도 가세했군요.
독일, 프랑스 정부까지 경고하고 기사가 1만개는 넘는 걸로 보아 굉장한 보안 이슈 같은데
국내 뉴스 기사는 검색해야 몇개 나오지 않는군요.
한국에서는 유독 IE6의 점유율이 높고 IE 각 버전을 다 합하면 98%의 점유율이라는데
아무 반응이 없군요.
헉...
인터넷 뱅킹을 위해 XP+IE6 아직 사용 중인데...--;
--
우리나는 IE 점유율이 거의 100% 이고 인터넷 뱅킹, 게임 사이트 등이 ActiveX 를 사용하는 관계로
IE 보안설정을 최고 수준으로 설정할 수도 없고...
만약 우리나라에 재미로 장난치면 초토화(?)......
이 정도면 행안부나 국정원에서 특히 정부기관, 공공기관에는 주의를 주어야 한다고 생각되는데...
IE6?
저도 IE6가 싫기는 합니다만, 이번 취약점은 IE6, 7, 8에 모두 해당되는데 댓글에서 IE6 이야기를 하는 건 좀 오버인 것 같습니다.
이번 취약점에 대한 기술적인 정보는 CVE-2010-0249로 찾아서 얻으실 수 있습니다.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249
MS 대변인의 대응 아닌가 싶은데요.
IE8은 훌륭하니, IE6가 땜빵 좀 되달라는...
_
'독일 정부'라고 해도.. 실제로는 "German Internet security office"(BSI)라는 기관에서 경고한 것입니다. 여기에서 애초에 제목을 자극적으로 뽑은게 전세계에 퍼지는게 아닌가 싶은데.. 한국 KrCERT에서도 비슷한 공지를 한 바 있고요.
애초에 구글을 뚫는 데에 해당 제로데이 취약점을 사용했다는 것은 구글 직원 누군가가 IE로 인터넷을 하다가 수상한 사이트를 클릭해버렸다는 건데, 한국 내의 IE 점유율이 비정상적으로 높다고 해도 IE 자체를 비난해도 되는가는 또 다른 문제라고 봅니다.
기술적인 정보 몇 개 더: 한국어 정보는 http://nchovy.kr/forum/2/article/518 에서 참고하실 수 있고요. 그리고 US-CERT 등에서 IE의 DEP(Data Execution Prevention) 기능을 활성화하라는 권고가 나와 있지만, 해당 조치는 별로 소용이 없다는 것이 밝혀졌습니다. IE의 자바스크립트를 꺼 두는 게 가장 안전하다고 합니다. 물론 IE로 수상한 사이트를 접근하지 않는 것이 현실적으로 가장 간단한 해결책이겠고요.
오늘 patch 자동 update가 배포되네요.
MS에서는 IE8은 문제없다는 식으로 발언하는 것 같은데 제 Windows Vista 64bit IE8 update 항목이 나오네요...
_
MS에서 언제 그렇게 말했는지요? http://www.microsoft.com/technet/security/advisory/979352.mspx 를 확인해보세요.
추측성 기사일까요?
http://zdnet.co.kr/Contents/2010/01/21/zdnet20100121154554.htm
NAVER도 그렇고 ZDNET 코리아의 기사가 이렇군요.
아무리 외국에서 MS
아무리 외국에서 MS 보안에 문제가 있다고 해도, 울나라에서는 모르쇠로 일관한다는...
정부는 그렇다고 해도, 언론은 뭐하는 언론인지 모르겠습니다. --;;
- 겨울아찌 -
winchild@kldp.org
- 겨울아찌 -
winchild@gmail.com
3월 22일자로 독일 정부에서는
파이어폭스의 0-day 보안위협이 있으니 사용을 자제하라는 내용을 발표했군요.
http://www.theregister.co.uk/2010/03/22/germany_firefox_warning/
그것에 대한 패치가
그것에 대한 패치가 된 것인지, 파이어폭스 3.6.2가 오늘 업데이트 되고 있네요...
--------------------------
피할 수 있을때 즐겨라!
http://snowall.tistory.com
피할 수 있을때 즐겨라! http://melotopia.net/b
업데이트는 빠르군요.
하지만 MS IE만 유독 보안 문제가 심각해서 독일 정부에서 언급한 게 아니라 현존하는 어느 브라우저던 어느 솔루션이던 보안 위협은 있을 수 있다는 게 정말 하고 싶은 얘깁니다.
그건 당연하죠.
그건 당연하죠. -_-
하지만 MS IE가 0-day 위험성에 대한 패치를 2일만에 내놓는 경우는 못봤던 것 같은데요...(일단 제 기억에는 없네요...--;;)
--------------------------
피할 수 있을때 즐겨라!
http://snowall.tistory.com
피할 수 있을때 즐겨라! http://melotopia.net/b
해당 취약점에 대한
해당 취약점에 대한 타임라인(http://secunia.com/advisories/38608)을 보시면,
해당 취약점은 2월 18일에 외부에 공개되어서, 3월 24일에 패치가 나왔습니다.
2일이 아니라, 약 1개월이 소요되었습니다.
----
LUX ET VERITAS | Just for Fun!
----
LUX ET VERITAS | Just for Fun!
윗 분 말씀은
취약점에 대한 경고가 나온 후 2일만에 패치가 나왔다는 말씀이시겠죠. 대중들에게 알려지기 전에 개발자들이 일찍 알았기 때문에 패치도 일찍 나온 것 같군요.
보안 취약점의
보안 취약점의 공개는 각 경우마다 복잡한 사연들이 담겨있습니다만...
이번 경우는 개발자도, 일반인도 2월 18일에 알게 되었습니다.
그리고, 보통 CERT의 보안 권고문은 특정 취약점이 매우 광범위하게 퍼져서 실질적인 문제가 벌어지고 있는 경우가 아니면 대부분 나오지 않는 경우가 많습니다. 때문에 취약점이 일반에 공개되는 시기와 CERT의 보안 권고문이 나오는 시기는 심하면 수년 이상 차이가 벌어지는 경우도 꽤 있습니다.
----
LUX ET VERITAS | Just for Fun!
----
LUX ET VERITAS | Just for Fun!
아, 그렇군요
아, 그렇군요 -_-;;
음...그럼, 일단은, 제가 알게된 이후로 2일만에 패치가 나온 것으로 말을 바꿔야겠습니다...;;;
--------------------------
피할 수 있을때 즐겨라!
http://snowall.tistory.com
피할 수 있을때 즐겨라! http://melotopia.net/b