<br>
마이크로소프트의 웹 브라우져 인터넷 익스플로러에서 4개의 보안 결함이 발견되었다. 그런데 문제는 이 결함에 대한 패치가 아직 없다는 것이다. 이 결함을 악용할 경우 현재 나와 있는 최신 소프트웨어 패치를 다운로드 받고 설치해도 윈도우 시스템에서 공격 코드를 공격자가 실행할 수 있다고 보안 전문가들은 경고하고 있다.
<br>
문제는 윈도우를 공격하는데 이 결함이 이미 사용되고 있다는 것이며 여기에는 웹 페이지의 주소를 속여 개인 정보를 탈취하는 스푸핑 공격과 보안 경고 없이 인터넷에 의해서 악성 코드르 담은 페이지를 로딩하는 것이 가능한 것도 포함된다.
<br>
<br>
마이크로소프트는 이 보안 결함에 대한 보고서를 확인했으며 관련된 공격을 조사하고 이 문제를 해결하기 위한 긴급 패치를 내놓는 것 등의 단계를 고려중이라고 밝혔다.
<br>
<br>
이 결함은 최근 보안 관련 뉴스 그룹에서 언급되기 시작하면서 표면으로 부상했으며 이중 2개는 보안 뉴스 그룹인 NTBugraq에서 Rafl Igvi란 사람에 의해서 먼저 공개되었다. 이 결함은 악성 웹 페이지에서 코드를 로딩하면서도 인터넷 익스플로러의 주소창에 올바른 웹 주소를 보여주는 것으로써 공격자들이 사용자를 속여서 다른 가짜 웹 페이지를 로딩하거나 전자 메일 메시지로 가짜 웹사이트로 링크를 제공할 수도 있다고 한다.
<br>
<br>
이 결함은 작년 12월에 발견되었었던 결함과 유사한 것으로써 작년 발견된 것은 인터넷 주소에 @ 기호 앞에 %01 문자를 포함시킬 수 있도록 해서 진짜 주소를 숨길 수 있도록 한 것이다. 이 결함으로 인해서 실제 접속하는 곳의 주소가 아닌 다른 주소의 웹 사이트로 속일 수가 있다.
<br>
<br>
크로스 존 스크립팅(Cross Zone Scripting)이란 다른 결함 역시 발견되었는데 이는 공격자가 인터넷 익스플로러로 하여금 하드 드라이브나 보안상 신용할 수 있는 사이트에서 추출해낸 보안 경고를 사용하여 안전하지 않은 컨텐트를 로딩할 수 있도록 속이는 것이다.
<br>
<br>
위에 언급된 크로스 존 스크립팅과 스푸핑을 병합할 경우 은밀한 공격을 감행할 수 있게 되며 악성 컨텐트의 다운로드를 받더라도 사용자가 전혀 모르게 될 수도 있다. 이와 유사한 보안 결함이 2개가 더 현재 발견된 상태이며 모두 패치가 없는 상태이다.
<br>
<br>
이 결함들은 모두 인터넷 익스플로러의 설계에서 발견된 것으로써 마이크로소프트가 인터넷 익스플로러 설계시 웹 페이지를 그룹지을 수 있는 보안 영역(Security Zone)의 적용에서 결함이 심각하다고 한다. 이러한 문제를 해결하기 위해서는 전체적인 웹 브라우져의 재 설계와 엔지니어링이 필요하다고 하며 마이크로소프트는 이를 다음 버전의 윈도우 롱혼에 적용시킬 계획으로 알려져 있다.
<br>
<br>
마이크로소프트는 한편 관련 패치가 나오고 보완이 될 때까지 안전한 브라우징(Safe Browsing)을 할 것을 권장하고 있다. 이에 대한 자세한 단계별 내용은 마이크로소프트의 홈페이지에서 볼 수 있다.
<br>
<br>
<!-- -->
