요즘 각종 메신저에서 보안상 취약점이 발견되어 패치되는 등 메신저의 명성에 먹칠을 하는 시즌입니다.

우리나라에서는 그리 자주 사용하는 프로그램은 아니지만 AIM에 대한 심각한 보안 취약점이 발견된 가운데 이에 대한 패치가 제대로 제공되지 않았다는 소식을 정리해서 알려 드립니다.


최근 AOL에서 제공하는 메신저인 AIM(AOL Instant Messenger)에서 보안 취약점이 발견된 적이 있습니다.

이 취약점은 지난 달에 보고된 것으로, 임베디드된 HTML 코드를 지원하는 데에서 발생하는 것으로 알려졌습니다. 즉, 메신저의 창에서 HTML 코드를 지원하는 기능에서 발생합니다.

AOL 社는  이 취약점을 해결하기 위해 최신 베타 버전에 픽스를 발표했습니다. 하지만, Aviv Raff라는 보안 전문가는 '아직도 취약점이 제대로 해결되지 않았다'고 주장하며 이에 대한 증거로 윈도우 보조 프로그램인 계산기를 실행된다는 것을 밝혔습니다.
사용자 삽입 이미지

윈도우 프로그램을 실행할 수 있다는 의미는 사용자가 로그온한 권한을 그대로 이용하여 다양한 공격을 취할 수 있다는 의미로 매우 심각한 문제점이 아닐 수 없습니다.

알려진 공격 유형은 다음과 같습니다.
  • 사용자의 개입없이 원격에서 의도된 명령어를 직접 실행.
  • IE 버그를 이용하여 직접 잇스플로잇 공격을 수행.
  • IE의 스크립트 코드를 직접 삽입.
  • 임베디드된 HTML을 사용하여 XSS 공격 수행.

관련 자료: http://blogs.zdnet.com/security/?p=542


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    최근 MS에서 제공하고 있는 MSN 메신저와 라이브 메신저에서 보안 취약점이 발표되었습니다. MS는 이러한 문제를 해결하기 위해 새로운 버전을 출시하였습니다.

    문제는 보안 취약점이 있는 기존 버전(MSN 메신전 6.2, 7.0, 7.5/라이브 메신저 8.0)으로 로그온할 때 최신 버전으로 업그레이드하라는 메시지를 보게 됩니다. 만약, 여기에서 업그레이드를 진행하지 않는 경우에는 서비스의 이용에 제한을 받게 된다고 합니다.

    꼭 업그레이드하세요!




    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      1. .. 2007.09.17 08:23  댓글주소  수정/삭제  댓글쓰기

        그지같은 msn Live messenger

        메신저 7.5 은 메신저는 더이상 로그인이 안됩니다.

        로그인 하려고 하면 업데이트 하라는 메세지만 뜨고 로그인 자체가 안되더군요.

        어쩔수 없이 라이브 메신저 설치하고 쓰고 있습니다.


        근데..라이브 메신저 버그있습니다. 아주 그지 싸발개..

        A라는 사람을 대화차단했습니다.
        차단하면 A가 내가 온라인 상태인지 전혀 모릅니다.

        근데..순간적으로 A가 내가 온라인인지 오프라인인지 알수있습니다.

        바로 로그인 하는순간 휴대폰 목록 하고 오프라인 목록 보인다음

        온라인목록은 순간적으로 약간 딜레이 되는 순간있죠.

        이때 A 가 내가 온라인으로 로그인 하는게 보입니다.

        그리고 대화상대 차단했으니 순간적으로 다시 오프라인으로 보이게 됩니다.

        본의아니게 A 가 내가 A를 차단했다는걸 눈치 챕니다.

        조금 황당한 버그이죠.

        대화상대를 완전 삭제를 해야지만 이런 버그가 안생기더군요.


        ※ 다른 메신저 사용하라고 하지마삼..업무때문에 어쩔수없이 MSN 사용할수밖에 없습니다.



      Web Analytics Blogs Directory