프레임 주입 속임수 취약성이 다시 나타나다

시큐니아다양한 모질라 브라우저의 프레임 주입 약점에 대한 보안 권고문을 발표하였다. 이 결함은 한 창에서 띄워진 악의적인 웹 사이트가 다른 창의 프레임 안에 내용을 집어넣을 수 있도록 한다. 비록 이것이 그 자체로는 크게 위험한 것은 아니지만, 스푸핑 공격의 수단으로 이용될 소지가 있다. 모질라 재단은 이 문제에 대해 알고 있으며, 트렁크와 모질라 1,7, Aviary(모질라 파이어폭스 1.0.x, 모질라 썬더버드 1.0.x)에 패치를 적용하였다.

이 프레임 주입 취약성은 1998년에 처음 나타나서 그 당시의 여러 브라우저에 영향을 주었으며, 지난 몇 년간 다양한 형태의 퇴행(코드의 수정이 의도하지 않게 버그를 되살림)에 의해 여러 차례 노출되었다. 파이어폭스 1.0.3과 1.0.4이 영향을 받으며, 모질라 1.7.7과 1.7.8도 마찬가지이다. 시큐니아는 별도로 카미노 0.8.4의 프레임 주입 보안 결함도 발표하였다. 이것은 퇴행이기 때문에, 파이어폭스 1.0.2, 모질라 1.7.6, 카미노 0.8.3은 이 버그의 영향을 받지 않는다.

더 기술적인 내용과 퇴행이 발생한 원인은 296850번 버그를 참고하기 바란다.

슬래시닷(Slashdot)에 올라온 스푸핑 취약성이 다시 발생한 것과 관련된 기사에 많은 독자들의 커맨트가 달렸다. GAThrawn은 우리에게 더 레지스터(The Register)에도 프레임 주입 취약성 기사가 올라왔다고 알려 주었다.

원문: Revenge of the Frame Injection Spoofing Flaw

No comments yet

Post a comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다