모질라의 최신 nightly 빌드에 지난 달 여러 브라우저에서 발견되었던 URL 속임 보안 결함의 수정이 적용되었습니다. 어제 패치가 줄기와 1.6 가지에 들어옴으로써, 앞으로 나올 모질라 1.6과 모질라 파이어버드 0.8은 이 결함에 영향을 받지 않을 것입니다.
취약한 버전의 모질라에서는 만약 페이지의 링크 URL에 %00이 있을 경우 상태 표시줄에 나타나는 주소에는 %00 이후의 내용이 잘려서 표시되었습니다. 공격자는 이를 통해서 http://www.microsoft.com%01%00@evilscam.net(실제 주소가 evilscam.net)로 연결되지만 http://www.microsoft.com로 가는 링크를 만들 수 있었습니다. 사용자가 인증된 사이트에 있도록 믿도록 속임으로써, 공격자는 사용자로 하여금 신용카드 정보와 같은 민감한 정보를 내 놓도록 할 수도 있습니다.
이러한 결함은 원래 마이크로소프트 인터넷 익스플로러에서 발견되었지만, 모질라에도 해당되었습니다. 하지만 IE의 결함은 훨씬 심각하여, 상태 표시줄에 나타나는 URL만이 영향을 받는 것이 아니라, 가짜 링크를 통해 페이지를 옮긴 후 주소 표시줄에 나오는 URL 또한 영향을 받습니다. 이 글을 쓰는 시점에서 마이크로소프트는 이 문제를 알고 있지만 아직 패치를 발표하지 않았습니다.
자세한 기술적인 정보는 228176번 버그에서 볼 수 있습니다. Secunia 인터넷 익스플로러 주소 표시줄 속임 테스트 페이지에서도 소프트웨어에 결함이 있는지 확인할 수 있습니다.
출처: 모질라진
추가: 이 패치는 1.4 가지에도 적용되었으며, 앞으로 나올 모질라 1.4.2에도 포함될 예정입니다.
No comments yet
Post a comment