[보안취약점] DigiCert 루트 인증서 취소

November 4th, 2011 by 모질라진 with No Comments »

문제점
Mozilla 제품 루트 인증서에 포함된 인증 기관의 Entrust 사에서 산하 인증 기관 중 하나인 말레이시아 DigiCert Sdn. ​​Bhd. 사가 낮은 강도의 인증서 22개를 발급한 것이 보고되었습니다. 이들이 부정하게 발행된 징후는 없지만, 낮은 강도의 열쇠는 인증서가 보안 침해를받을 우려가 있습니다. 또한 인증 기관에서 발급한 인증서에는 몇 가지 기술적인 문제가 보여집니다. 용도를 지정하는 EKU 확장이 누락되어 해지 정보도 포함하지 않습니다.

이것은 Firefox에 큰 문제는 없지만, Mozilla는이 인증 기관의 기술 관행에 대한 우려를 고려하여 DigiCert Sdn. ​​Bhd. 사의 중간 인증 기관에 대한 신뢰를 취소하기로했습니다.

DigiCert Sdn. ​​Bhd.社는 말레이시아에서 영업하고있는 Entrust 사와 Verizon (GTE Cyber​​Trust) 산하의 인증 기관입니다. 미국에 본사를두고 같이 Mozilla 제품 루트 인증서에 포함된 DigiCert사와도 관련이 없습니다.

사용자에 미치는 영향

공격자가 이러한 낮은 강도의 열쇠 중 하나를 사용하여 정규의 소유자로 가장할 수 있습니다. 이것은 사용자를 속여 악의적인 콘텐츠와 소프트웨어를 정품 소유자가 제공하는 Web 사이트나 서명된 소프트웨어 것처럼 신뢰하는 것이 가능합니다. 문제의 인증서는 다양한 말레이시아 정부 사이트 및 내부 시스템에 게시되어 있습니다. 다른 사이트에 영향을 줄 가능성은 없다고 생각됩니다.

처리 방안
Mozilla는 DigiCert Sdn. ​​Bhd. 사에 의해 발급된 모든 인증서의 신뢰를 취소합니다. 이 변경은 Firefox 8와 Firefox 3.6.24 부터 시작합니다. 이 문제는 Entrust 사에서 Mozilla에보고되었습니다.

[보안취약점] DigiNotar사 루트인증서 무효

August 30th, 2011 by Channy Yun with No Comments »

문제
Mozilla는 적어도 1개 이상의 잘못된 SSL 인증서가 Google 회사 명의로 발급되었다는 통지를 받았습니다. 이것은 Firefox 특정 문제가 아니라 그 인증서는 발급 주최인 DigiNotar 사에 의해 취소되었습니다. 따라서 대부분의 사용자는 지켜지고 있습니다.

사용자에 미치는 영향
신뢰할 수없는 네트워크에있는 사용자가 잘못된 인증서를 사용한 웹 사이트에 유인되어 그것이 합법적인 사이트로 오인 우려가있었습니다. 이러한 경우 사용자는 속아 사용자 이름과 암호 같은 개인 정보를 입력할 가능성이 있습니다. 또한 신뢰할 수있는 사이트에서 제공되는 것으로 착각에서 악성 코드를 다운로드하여 가능성도 있습니다. Mozilla에서는 이러한 인증서가 공개 사이트에서 사용되고있다는보고를 받고 있습니다.

상황
부정 발행 규모가 밝혀지고 있지 않기 때문에 Mozilla는 데스크톱 버전 Firefox (3.6.21,6.0.1,7,8,9), Android 버전 Firefox (6.0.1,7,8,9) Thunderbird (3.1.13,6.0.1) SeaMonkey (2.3.2) 업데이 트를 시급히 공개 준비를 진행하고 있습니다. 이 새로운 버전에서 DigiNotar 사의 루트 인증서를 무효화하고 위와 같은 공격으로부터 사용자를 보호합니다. Mozilla는 모든 사용자에 대해 보안 업데이 트를 정기적으로 적용하여 사용하는 소프트웨어를 최신 상태로 유지하는 것을 권장합니다. 사용자 여러분은 Firefox의 옵션 화면에서 DigiNotar 사의 루트 인증서를 수동으로 비활성화할 수 있습니다.

신용
이 문제는 Google 社에서 Mozilla에보고되었습니다.

MSIE 팀에서 모질라 파이어폭스 3 출시 기념 케이크를 보내다

June 18th, 2008 by 모질라진 with No Comments »

마이크로소프트의 인터넷 익스플로러 팀이 모질라에 모질라 파이어폭스 3의 출시를 기념하는 케이크를 보냈다. IE 팀에서 프로젝트 매니저로 일했던 현 모질라 코퍼레이션 직원 앨 빌링스케이크 사진을 게시하였는데, 케이크에는 커다란 인터넷 익스플로러 ‘e' 로고와 “Congratulations on Shipping! Love, The IE Team”라는 메시지가 그려져 있다.

이것이 레드몬드에서 모질라로 보낸 첫번째 케이크는 아니다. 2006년에도 IE 팀은 모질라에 파이어폭스 2의 출시를 축하하는 케이크를 보냈다. 모질라 창조 이사인 존 슬레이터파이어폭스 2 케이크의 마지막 조각 옆에 있는 파이어폭스 3 케이크의 사진을 찍었는데, 그 조각은 지난 20달 동안 냉장고에 있었던 것으로 보인다.

마이크로소프트와 라이벌 브라우저 제작자들과의 관계가 항상 이렇게 훈훈하기만 했던 것은 아니다. 1997년 인터넷 익스플로러 4.0이 출시되었을 때, 마이크로소프트는 대형 철제 IE 로고를 넷스케이프 앞 잔디밭에 내려 놓았다. 넷스케이프의 직원들은 이 로고를 넘어뜨리고 옆면에 스프레이로 “Netscape Now!”(넷스케이프에서 사용자들이 다운로드할 것을 권하는 광고 문구였음)라 쓰는 것으로 응수하였다. 그들은 이후 넷스케이프의 녹색 모질라 마스코트-당시 이에 대한 기사에 의하면 높이 2.1미터 또는 3.7미터라 되어 있었음-를 위에다 올려 놓고 “Netscape 72, Microsoft 18″(당시 두 브라우저의 시장 점유율)라 쓰인 플래카드를 걸어 놓았다.

원문: mozillaZine: Microsoft Internet Explorer Team Sends New Cake for Mozilla Firefox 3 Launch

모질라 파이어폭스를 공격하기 위해 인터넷 익스플로러를 이용하는 보안 결함

July 11th, 2007 by 모질라진 with No Comments »

Firefox_User는 우리에게 모질라 파이어폭스와 마이크로소프트 인터넷 익스플로러가 모두 설치된 윈도우즈의 보안 위협에 대한 CNET News.com 기사 링크를 보내 주었다. 이 문제는 공격자가 원격에서 파이어폭스가 잠재적으로 악의적인 코드를 실행할 수 있게 한다. 하지만, 이 문제에 실제로 피해를 보기 위해서는 사용자가 인터넷 익스플로러를 실행하고 있어야 한다.

보안 연구자 토르 라홀름보안 결함의 작동 원리에 대한 설명에 개념 검증(비록 실제로는 이렇게는 작동이 불가능하다고 보고한 사람도 있었지만)을 포함하여 게재하였다. 파이어폭스는 윈도우즈에서 설치되면서 firefoxurl:// URL을 처리하기 위해 URL 프로토콜 핸들러를 등록한다. (이는 http:// 또는 ftp:// URL 프로토콜 핸들러와 유사하게 작동한다.) IE 사용자가 firefoxurl:// URL을 호출(예를 들어 iframe 등으로)하는 웹페이지를 방문하면, IE는 사용자에게 별도의 알림 없이 파이어폭스를 실행하며 URL을 전달한다. IE와 파이어폭스 모두 URL을 회피하거나 정화하지 않는데, 이로써 공격자가 파이어폭스가 실행되는 커맨드에 별도의 파라미터를 주입할 수 있다. -chrome 파라미터와 같이 이용함으로써, 공격자는 파이어폭스가 위험한 자바스크립트 코드를 실행하도록 할 수 있다.

비난받아야 할 대상이 어디인지에 대해서는 다서 논란의 여지가 있다. 입력을 제대로 검증하지 않기 때문에 신뢰할 수 없는 데이터를 다른 애플리케이션 또는 파이어폭스로 보내는 IE의 잘못인가? 시큐리티포커스(SecurityFocus)에서는 이 문제를 마이크로소프트 인터넷 익스플로러 FirefoxURL 프로토콜 핸들러 커맨드 주입 취약성이라 함으로써 레드몬드에 원인을 돌리고 있지만, 시큐니아(Secunia)는 이 문제를 파이어폭스 “firefoxurl” URI 핸들러 등록 취약성이라 하여 모질라를 지목하고 있다. News.com에서는 올리버 프리드릭스 시맨텍의 보안 반응 센터의 올리버 프리드릭스의 “양쪽 다 약간씩 문제가 있다”는 말을 인용하고 있다.

공식 모질라 보안 블로그에서 모질라 코퍼레이션의 윈도우 시드너(마이크로소프트에서 일한 적이 있음)는 앞으로 나올 파이어폭스 2.0.0.5에 패치가 적용될 것이라 하였다. 이 글에서 그녀는 애플이 최근 사파리에서 비슷한 문제를 수정하였음을 말하며 이 문제가 전적으로 IE의 것이라고 간주하고 있는 것으로 보인다. 하지만 ZDNet 제로 데이 보안 블로그에 의하면 마이크로소프트가 firefoxurl:// 버그는 “마이크로소프트 제품의 취약성이 아니다”라고 주장하였다고 한다.

제스퍼 조핸슨(그도 마이크로소프트에서 일한 적이 있음)은 그의 블로그에 firefoxurl:// 결함은 모질라의 문제라 하였다. 그는 URL 프로토콜 핸들러의 등록을 해제하는 방법도 설명하였다.

이 기사에 게재된 링크들을 알려 준 roseman에게 감사를 표린다.

원문: mozillaZine: Security Exploit Uses Internet Explorer to Attack Mozilla Firefox

« Older Entries