현재 위치

›› Forums ›› 이슈 ›› 토론, 토의

MS, 5대 보안 문제 패치

geekforum의 이미지
글쓴이: geekforum / 작성시간: 금, 2000/05/19 - 9:57오전

패치를 완변히 했다고 자부하는 수준인데.. 언제 어떻게 뚤릴지는....

-----

MS, 5대 보안 문제 패치

Paul Festa

마이크로소프트는 인터넷 익스플로러와 오피스 소프웨어의 보안관련 허점들을 수정함으로써 그 동안 고객들에게 피해를 끼칠
수 있었던 5대 보안문제를 해결하였다.

이번 버그 패치로 MS는 보다 광범위한 보안 조치를 할 수 있게 됐다. MS는 자사의 전자우편 응용 프로그램 아웃룩(Outlook)을
이용한 「I Love You」바이러스의 활동으로 발생된 엄청난 손해에 대해 많은 비난을 받았었다.

이런 비난에 대해 MS는 이번 주 아웃룩에 안전장치를 구현하겠다고 약속했다.

보안관련 문제 중 4개는 브라우저 IE와 관련된 것인데 모두 악의적인 웹 사이트 운영자나 HTML 전자우편 발송자들의 공격에
노출되는 허점을 갖고 있는 것들이다.

첫째, 「프레임 도메인 인증」 문제는 사이트에서 여러 개의 페이지를 동시에 보여 주기 위해 사용되는 웹사이트 프레임의
동작을 IE가 제어하는 방식과 관련되어 있다.

IE의 문제는 IE가 원래 창의 프레임 이외의 프레임 웹사이트 주소 또는 도메인을 점검하지 못한다는 데 있다. 이 같은 허점을
이용해 웹사이트 운영자들은 파일 이름을 추측하거나 미리 알고 있는 경우 보조 창을 통해 방문객 컴퓨터의 파일에 액세스 할 수
있다.

두 번째 문제는 웹사이트 방문객의 쿠키를 악의적인 사이트 운영자가 열어 볼 수 있다는 것이다.

쿠키는 방문객이 웹사이트에 다시 들렀을 때 이들의 신분을 확인하고 웹 사용 내역과 구매 내역에 관한 데이터를 저장하는
파일이다. IE는 우선 쿠키를 요청하는 웹사이트가 원래 그 쿠키를 사용자의 컴퓨터에 심어 둔 웹사이트와 일치하는지를
확인한다. 그러나 웹 주소 코딩 방식을 살짝 변경하면 IE의 보안 점검 수단을 피해 갈 수 있다. 이번 패치를 통해 IE는 이런 함정을
피할 수 있게 되었다.

「기형 구성요소 속성(Malformed Component Attribute)」이라는 세 번째 문제는 액티브X를 다루는 방식과 관련되어 있다.
액티브 X는 보안상 허점이 많기로 이미 유명한 기술이다.

액티브X 구성요소 실행에 사용되는 IE의 코드에는 버퍼 과부하 버그가 있다. 지난 10년 사이 가장 일반적인 보안 문제로
일컬어지는 버퍼 과부하 공격은 주소 표시줄(address bar)과 같은 필드가 담아 낼 수 있는 양보다 더 많은 문자를 집어 넣는
공격을 말한다.

이 같은 공격에 따라 버퍼 코딩에 오류가 발생하면 응용 프로그램이 갑자기 중단되는데 그 후 컴퓨터를 재 시작했을 때 문제의
여지가 있는 코드가 실행될 수 있다.

네 번째 문제는 MS가 이미 겪은 적이 있는 「WPAD 스푸핑」 문제를 말한다.

IE 5는 웹 프록시 자동 발견(Web Proxy Auto-Discovery: WPAD)이라는 기능을 갖고 있다. 이 기능은 기업 인트라넷 등과
같은 네트워크와 인터넷 사이에서 버퍼의 기능을 하는 프록시 서버의 설정이 올바른지를 자동으로 판단하는 기능이다.

WPAD의 문제는 프록시 서버를 검색할 때 네트워크 내부에서 이를 찾지 못하면 네트워크 외부를 검색한다는 데 있다. 이를
통해 악의적인 해커는 보다 광범위한 공격이 가능하도록 브라우저를 설정할 수 있다.

IE 5.01에 포함된 첫번째 패치에서는 프록시 서버 검색 시 네트워크 외부를 검색하지 못하도록 하고 있다. 그러나 새로운 변종의
출현으로 이러한 패치를 피할 수 있게 되었다.

IE 버전 4.0, 4.01, 5.0, 5.01에 영향을 주는 위의 4가지 문제점들은 같은 패치를 다운로드해서 해결할 수 있다.

MS가 패치한 다섯 번째 보안 문제는 Word, Excel, PowerPoint, Access, PhotoDraw, FrontPage, Project, Publisher, Outlook,
Office 2000 등의 응용 프로그램에서 발생되는 것이다.

오피스 2000 문제는 오피스의 여러 툴에서 사용하는 액티브X 컨트롤과 관련되어 있다. 페이퍼클립 애니메이션,
일부사람들에게는 「클리피」로도 알려진 오피스의 「UA 컨트롤(Control)」은 악의적인 웹 사이트나 HTML 전자우편
발송자의 조작이 가능하게 되어있다.

이들 응용프로그램에는 「safe for scripting(스크립팅에 안전)」 표시가 있는데 이는 일반적으로 액티브X 컨트롤에 해가
없다는 것을 뜻한다. 그러나 「클리피」 컨트롤은 웹사이트에서 부적절한 용도로 사용할 수 있는 강력한 기능을 제공한다. 이
패치 또한 다운로드해서 사용할 수 있다.

MS의 수많은 버그 패치에도 불구하고 아직도 수정되어야 할 문제들이 많이 있다. MS는 이번 주 매킨토시 버전의 IE에 버그
문제가 있음을 인정했다. 이 버그는 브라우저의 자바(Java) 프로그래밍 언어 처리 방식과 관련되어 있으며 이번 주 패치된 다른
버그들과 마찬가지로 컴퓨터를 악의적인 HTML 코드에 노출시키게 된다.

<a href=http://korea.cnet.com/news/2000/05/19/20000519d.html>한꺼번에 읽기</a>

Forums: 
토론, 토의

둘러보기