PwnZilla 5의 IDN 링크 버퍼 오버플로 공개

washingtonpost.com의 블로그인 시큐리티 픽스(Security Fix)는 모질라 보안 버그의 악용 코드가 공개되었다고 보도하였다. PwnZilla 5 코드는 국제 도메인 이름(IDN) 링크 버퍼 오버플로 결함(원문)을 이용하고 있는데, 이 결함은 이달 초 공개되었다. 블로그는 이 결함을 통해 “공격자가 패치되지 않은 파이어폭스 인터넷 브라우저로 웹을 이용하는 컴퓨터의 완전한 제어권을 가질 수 있다”고 하고 있다. 이전에 공개된 코드는 단지 브라우저의 충돌을 일으킬 수 있는 개념 수준의 약점이었다.

Berend-Jan “SkyLined” Wever가 만든 코드는 취약성이 있는 모질라 파이어폭스, 모질라 애플리케이션 스위트, 넷스케이프 브라우저 8에서 이용될 수 있다. 지난 며칠 사이에 나온 최근의 파이어폭스 1.0.7과 모질라 1.7.12는 문제점을 수정하였기 때문에 영향을 받지 않는다. 하지만 넷스케이프 브라우저 8(현재 버전 8.0.3.3)은 비록 보기에 취약 코드에 덜 영향을 받는 것 같기는 하지만, 아직 패치가 나오지 않았다.

시큐리티 픽스의 저자 브라이언 크레브스는 “이 코드는 웹 사이트에 내장되어, 파이어폭스나 넷스케이프로 사이트를 방문하는 컴퓨터에 공격자가 선택한 인터넷 주소와 통신 선로를 열어둠으로써 악당들이 피해자의 컴퓨터를 멀리서 효과적으로 제어할 수 있게 할 수 있다.”고 하였다. 그는 French Security Incident Response Team (FrSIRT)를 이번 분석의 근거로 제시하였지만 FrSIRT’s copy of the PwnZilla 5 code는 이 정보를 포함하고 있지 않은 것으로 보인다.

이용 코드의 저자 SkyLined는 PwnZilla 5를 만드는데 여러 사람의 도움을 받았다고 하였다. 그는 코드에 대한 설명에서 “이 취약성에 대한 보고서에 넷스케이프가 응답을 하지 않았기 때문에 공개하기로 결정하였다”고 하였다. 하지만 그는 이 행동에 다소의 정당성을 부여하기 위해서 그 코드가 파이어폭스에 최적화되어 있으며(패치가 나와 있음) 넷스케이프에서는 거의 작동하지 않는다고 하였다(패치가 없음).

아직 파이어폭스 1.0.7 또는 모질라 1.7.12로 업그레이드하지 않은 사용자는 즉시 업그레이드를 하여야 할 것이다. (파이어폭스 1.0.7의 발표에 대한 기사원문 – 와 모질라 1.7.12의 발표에 대한 기사원문 – 를 참고하기 바란다). 참고로 파이어폭스 1.5 베타 1은 이 결함에 영향을 받기 때문에, 사용자들은 파이어폭스의 최종 사용자 버전(즉 1.0.7)으로 돌아오든가, 또는 1.8 브랜치의 최신 파이어폭스 나이틀리 빌드로 업데이트하여야 할 것이다. 시몽키 1.0 알파는 이 취약성에 영향을 받지 않는다. (하지만 리눅스 버전은 리눅스 명령줄 URL 파싱 보안 버그원문 – 의 영향을 받는다.).

지난주 CNET News.com은 해커가 IDN 결함의 이용 코드를 만들고 있을 것이라 경고(원문)하였다. 이 취약성은 원래 톰 페리스가 모질라 재단에 보고하였는데, 그는 수정된 파이어폭스와 모질라 애플리케이션 스위트가 출시되기 이전에 취약성에 대해 공개하기로 결정하였다. SecurityProNews의 기자 존 스티스는 지난주 IDN 취약성에 대해 톰 페리스와 인터뷰를 가졌는데, 이를 통해 페리스가 결함에 대해 공개하게 된 계기를 설명하였다. 스티스의 기사를 인용하면, “그(패리스)는 그가 처음 모든 정보를 모질라 재단에 제출하였을 때, 그들은 별로 호의적이지 않아 보였고 내쫓긴 것같은 느낌을 받았다… 마이크로소프트는 그를 항상 ‘전문가처럼 대우하였다.’ 그는 모질라의 사람들이 그를 마치 아이처럼 대우하는 것처럼 느꼈다고 하였다.”고 하였다.

시큐리티 픽스의 글 링크를 알려준 roseman께 감사드린다.

원문: MozillaZine: PwnZilla 5 Exploits IDN Link Buffer Overflow

댓글 없음

댓글 남기기

의견 보내기