[펌]E와 파이어폭스에「매우 중대」한 보안 위험

출처 : http://www.zdnet.co.kr/news/internet/browser/0,39031243,39159380,00.htm

IE와 파이어폭스에「매우 중대」한 보안 위험

Dawn Kawamoto ( CNET News.com )   2007/07/13

인터넷 익스플로러(IE)의 제로 데이 익스플로잇 문제로 MS를 비난했던 보안 연구자들이 지금은 "(인터넷 익스플로러와 파이어폭스의) 모두 죄가 있다"고 말하고 있다. 이 문제가 파이어폭스 사용자에게도 영향을 주기 때문이다. IE와 파이어폭스의 버전 2.0 이후를 사용할 경우, '매우 중대'한 위험에 노출돼 있다. 공격자는 악질적인 사이트를 사용자에게 IE로 열어보게 함으로써 'Firefox://'이라는 URL 핸들러를 이용해 브라우저와 웹의 특정 자원과의 사이에 교환을 시키는 것이 가능하게 된다. 이 결과 사용자 시스템이 원격지에서 악용될 가능성이 있다. IE의 문제를 발견한 보안 연구자인 토어 라홀름과 보안 기업 시만텍은 10일(미국시간) 이 문제에 대해 IE를 비난했었다. 반면 시큐니아의 최고기술책임자(CTO) 토마스 크리스텐슨은 이를 버전 2.0 이후의 파이어폭스에서 발생하는 문제로 경고했다. 시만텍의 보안 대응 센터 디렉터인 올리버 프레드릭스는 "문제의 원인은 쌍방에 있다. 매우 복잡한 애플리케이션이 2개 있는데 이것들이 잘 제휴하고 있지 않기 때문에 보안 문제가 발생했다. 각각 스탠드 얼론 제품으로서는 안전하지만, 함께 사용하면 그렇지 않게 된다"고 말했다. 라홀름은 "이번에는 파이어폭스가 어택 벡터가 되어 있다. 그러나 인터넷 익스플로러도 커멘드 라인 입력을 체크하지 못한 점을 비난당해 마땅하다"고 말했다. 프레드릭스의 지적에 따르면 지난해 10월에 버전 2가 릴리스된 파이어폭스는 인기를 얻고 있지만, IE는 윈도우 OS에 부속되어 있기 때문에 대부분의 파이어폭스 사용자의 PC에는 IE도 설치된 경우가 많다고 한다. 따라서 이 문제에 직면하고 있는 사람 수는 방대할 수 있다고 그는 지적했다. 한편 시큐니아의 크리스텐슨은 "새로운 URI 핸들러는 'Firefoxurl://'가 설정되면 사이트가 파이어폭스를 강제로 기동할 수 있도록 설정됐다. 'ftp://'나 'http://'등이 다른 애플리케이션을 호출하는 것과 같다"고 설명했다. 그러나 파이어폭스의 URI 핸들러에는 등록 방법에 문제가 있어 'Firefoxurl://'를 기동하면 (프로그램을 호출해 특정의 태스크를 실행하기 위한) 파라미터가 MS의 인터넷 익스플로러등의 애플리케이션으로부터 파이어폭스에 모두 건네지게 된다. 공격자가 '크롬(chrome)' 문맥을 사용해 파이어폭스로 실행 가능한 코드를 사용자의 시스템에 삽입하는 경우가 있다고 한다. 크롬이란 표시 페이지의 외측에 있는 프레임의 사용자 인터페이스 요소이다. 크리스텐슨은 "윈도우는 애플리케이션에 위험한 입력을 적절히 파악하는 수단이 없기 때문에 URI 핸들러 등록을 신중하게 해야 한다"며 "윈도우는 '크롬'이라는 문자열이 파이어폭스에 위험하다는 것을 파악할 수 있는 방법이 없었다"고 지적했다. 악질적인 웹 사이트를 회피하는 것 외에도, 시스템 관리 책임자가 파이어폭스 URL의 URL 핸들러를 삭제하거나 파이어폭스에 의한 크롬 입력의 수락 방식을 바꿀 수 있다. @

위험하네.. -0-
어플리케이션간 충돌을 넘어서 악용이 된다니...
비슷한 기능을 가지는 어플리케이션 간에는 발생할 수 있는 문제일 듯 하군. -_-;