모질라 파이어폭스 2.0.0.6이 출시되었다. 이 브라우저 업그레이드는 두 가지 보안 결함을 수정하였는데, 자세한 내용은 모질라 재단 보안 권고안 페이지의 파이어폭스 2.0.0.6 항목에서 설명하고 있다.
더 심각한 보안 결함은 파이어폭스가 퍼센트를 이용하지 않은 공백과 겹따옴표가 포함되어 있는 URL을 외부 애플리케이션으로 전달하는 것과 관련되어 있는데, 이는 악의적인 웹페이지가 잠재적으로 위험한 커맨드 라인 매개 변수를 이용하여 프로그램을 실행할 수 있도록 한다. 다른 취약성은 확장과 관련된 권한 상승 버그인데, 파이어폭스 2.0.0.5에서 실수로 발생하였다.
URL 프로토콜 처리 결함은 firefoxurl:// URL 취약성(원문)과 비슷한 범주의 결함인데, firefoxurl 결함은 파이어폭스 2.0.0.5가 출시(원문)되면서 수정되었다. 원래의 firefoxurl:// 결함은 공격자가 악의적인 커맨드 라인 매개 변수와 함께 파이어폭스를 실행시키기 위해 마이크로소프트 인터넷 익스플로러를 이용할 수 있었다. 이번 파이어폭스 2.0.0.6에서 수정된 결함은, 파이어폭스가 다른 애플리케이션에 위험한 매개 변수를 주어서 실행시키는 공격 기점으로 이용된다. 이 결함은 알려진 위치에 있는 어떠한 프로그램이든 실행시키도록 확장될 수 있으며, 잠재적으로 위험한 커맨드 라인 패러미터를 전달할 가능성이 있다.
외부 애플리케이션에서 전달되는 데이터가 (상대적으로) 안전한지를 확인하는 것이 파이어폭스의 책임인지 아닌지는 논쟁의 여지가 있다. 원래의 firefoxurl:// URL 취약성이 발견되었을 때 마이크로소프트는 IE에 잘못이 없다고 주장하였다. 하지만 모질라는 당시 이것이 IE와 관련된 문제라고 비난했기 때문에, 파이어폭스에 있는 비슷한 문제를 수정하지 않는 것은 위선적인 행동일 것이다. URL 프로토콜 취급 결함에 대한 모질라 보안 블로그의 게시물에서 “깊게 보호하는 것이 사람들을 보호하는 최선의 방법”이라 하였다. (비록 블로그에는 윈도우즈만 영향이 있다고 되어 있지만, 389106번 버그에는 리눅스와 맥 OS X에도 취약성이 있다고 한다.)
파이어폭스는 대부분의 외부 애플리케이션들을 실행하기 전 사용자에게 알리며 커맨드 라인 패러미터를 보여 주는데, 이로써 취약한 버전의 사용자들도 일부 공격 경보를 받을 수 있다. (비록 경험이 많은 사람들만 안전한 커맨드와 악의적인 커맨들을 구별할 수 있겠지만.) 하지만, 이메일과 뉴스그룹과 관계된 일부 프로토콜(특히 mailto, news, nntp, snews)는 외부 애플리케이션을 실행하기 전에 사용자에게 알리지 않기 때문에, 취약성이 있는 메일 및 뉴스그룹 애플리케이션은 최소한의 사용자 간섭으로 악용당할 수 있다. (여러 firefoxurl:// 관련 문제가 있는 썬더버드 2.0.0.4 및 이전 버전이 그런 예가 될 것이다.)
파이어폭스 2.0.0.6에 대한 더 자세한 정보는 파이어폭스 2.0.0.6 릴리스 노트에서 볼 수 있다. 새 버전은 파이어폭스 2.0.0.6 제품 페이지에서 다운로드할 수 있다. 기존 파이어폭스 2 사용자들은 소프트웨어 업데이트 기능을 이용하고 있을 경우(기본적으로 작동하고 있다) 업그레이드 알림을 받게 될 것이다. 썬더버드(2와 1.5 모두) 및 시몽키의 대응되는 버전들이 곧 나올 예정이다.
No comments yet
Post a comment