사파리 웹브라우저, 5초만에 보안 뚫려

<P> </P> <P style="TEXT-ALIGN: center"> </P> <P> <DIV> <P><BR></P> <P><BR></P> <P><BR></P> <P><BR></P> <P style="TEXT-ALIGN: center"><BR></P> <P style="TEXT-ALIGN: center"><A href="http://cafe.daum.net/posthoolis" target=_blank><IMG style="FLOAT: none; CLEAR: none" id=A_161C11584DA9235336EFF3 class=txc-image border=0 hspace=1 vspace=1 src="https://t1.daumcdn.net/cfile/cafe/161C11584DA9235336" width=300 actualwidth="300" id="A_161C11584DA9235336EFF3"/></A></P> <P style="TEXT-ALIGN: center"><BR></P></DIV> <TABLE border=0 cellSpacing=0 cellPadding=0 width="87%" align=center height=10> <TBODY> <TR> <TD style="WORD-BREAK: break-all"> <DIV align=justify>현재 진행중인 2011 PWN TO OWN 해킹 대회에 참가중인 한 팀이 제공한 정보에 따르면 <DIV><BR></DIV> <DIV>대회 시작 5초만에 맥 OSX 에서 돌아가는 사파리 브라우저의 보안허점을 뚫는데 성공했다고 합니다.</DIV> <DIV><BR></DIV> <DIV> <DIV>PWN TO OWN 은 매년 열리는 해킹 대회로, 지금까지 해킹대상인 노트북이나 스마트폰과 함께</DIV> <DIV><BR></DIV> <DIV>막대한 금액의 경품으로 해커들을 유혹하고 있습니다. 올해는 구글이 스폰서를 담당하며,</DIV> <DIV><BR></DIV> <DIV>2년째 뚫리지 않은 크롬을 해킹하는 해커에겐 2만 달러의 추가 상금을 제공할 예정입니다.</DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV>참고로, 해킹대상이 되었던 사파리는 5.0.3 이었고, 대회 시작 바로 몇분전에 애플이</DIV> <DIV><BR></DIV> <DIV>사파리 5.0.4 와 iOS 4.3 을 공개했습니다만, 해킹팀의 설명에 따르면 비록 62개에 달하는</DIV> <DIV><BR></DIV> <DIV>보안허점이 막히긴 했어도 대회에서 사용한 방법을 포함하여 아직 다른 방법들은 </DIV> <DIV><BR></DIV> <DIV>유효하다고 밝혔습니다. 이외에도 3년째 버전업이 없는 IE8 도 사파리에 이어 뚫렸다고 합니다.</DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV>덤으로 PWN TO OWN 대회에 대한 간단한 요약 정보를 알려드리겠습니다.</DIV> <DIV><BR></DIV> <DIV>최초로 열렸던 2008 PWN TO OWN 대회에선 3가지 종류의 OS 를 테스트하였습니다.</DIV> <DIV><BR></DIV> <DIV>리눅스 우분투 7.10</DIV> <DIV>윈도 비스타 SP1</DIV> <DIV>OSX 10.5.2</DIV> <DIV><BR></DIV> <DIV>대회 첫째날에는 목적한 노트북에 원격으로만 접근하는 조건으로 치뤄졌으며, 둘째날에는 </DIV> <DIV>기본 응용 프로그램에만 공격이 허용되었으며, 세째날부터 유명한 서드파티 응용 프로그램을 </DIV> <DIV>통한 공격을 허용하였습니다. 각각의 조건을 클리어하면 $20,000, $10,000, 그리고 $5,000 의 </DIV> <DIV>상금을 탈 수 있게 됩니다.</DIV> <DIV><BR></DIV> <DIV>결과는, 개인 보안 담당자가 맥북에어의 기본 응용 프로그램을 통한 해킹에 성공하여 </DIV> <DIV>$10,000 의 상금을 타갔으며, 대회 마지막 날엔 다른 팀이 비스타의 해킹에 성공하여 </DIV> <DIV>$5,000 의 상금을 타갔습니다. 우분투는 결국 해킹되지 못했습니다.</DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV>두번째 대회인 2009 PWN TO OWN 에선 룰을 달리하여 브라우저의 보안성을 테스트하게 </DIV> <DIV>되었습니다. IE8, Firefox, 크롬이 깔려 있는 VAIO 노트북과 사파리와 파이어폭스가 깔려있는 </DIV> <DIV>맥북으로 대회가 진행되었습니다. 이 외에도 블랙베리, 안드로이드, 아이폰, 심비안, 윈도 </DIV> <DIV>모바일이 깔려있는 핸드폰으로도 동시에 진행되었습니다. 노트북에는 모든 최신 보안패치가 </DIV> <DIV>적용되어 있는 상황이었고 브라우저도 기본 설정으로 놓여져 있었습니다.</DIV> <DIV><BR></DIV> <DIV>대회 규정도 바뀌어서, 브라우저의 보안허점 1개당 $5,000 이 주어졌고</DIV> <DIV>모바일폰의 경우 1개당 $10,000 의 상금이 수여되었습니다. </DIV> <DIV>또한, 해당 플랫폼에서 가장 많은 버그를 찾아낸 팀은 추가로 $5,000 의 상금을 얻게 됩니다.</DIV> <DIV><BR></DIV> <DIV>대회 결과는, 첫째날에 사파리 (2번), IE8, 파이어폭스가 뚫린 것으로 나타났으며,</DIV> <DIV>가장 빨리 보안허점을 찾아낸 사파리의 경우 뚫리는데 2분이 걸렸습니다.</DIV> <DIV>크롬 브라우저의 경우 현존하는 알려진 exploit 기술로는 뚫는 것이 불가능했지만</DIV> <DIV>한가지 부분에서 약간의 허점이 발견되었습니다. 한편 모바일 폰의 경우</DIV> <DIV>느린 성능으로 인해 그다지 해킹이 선호되지 않는 경향을 보여서 결과가 안나왔습니다.</DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV>작년에 열린 세번째 2010 PWN TO OWN 대회에서는 2009 대회와 비슷하게 브라우저 부분과 </DIV> <DIV>모바일 부분으로 나뉘어 치러졌습니다.</DIV> <DIV>IE8 (W7), 파이어폭스3 (W7), 크롬4 (W7), 사파리4 (설표)</DIV> <DIV><BR></DIV> <DIV>대회규정은 거의 동일하지만 한번의 버그를 찾는데 $10,000 만 수여하게 되었습니다.</DIV> <DIV>대회 결과는 아래와 같습니다.</DIV> <DIV><BR></DIV> <DIV>1번째: 아이폰</DIV> <DIV>2번째: 사파리 (Charlie Miller 라는 사람이 3년째 가장 먼저 타갔습니다)</DIV> <DIV>3번째: IE8 - W7 64 bit</DIV> <DIV>4번째: 파이어폭스</DIV> <DIV><BR></DIV> <DIV>아이폰과 사파리, IE8 은 두번씩 뚫렸으며 이외에 노키아의 심비안도 뚫렸습니다.</DIV> <DIV>크롬은 두번째 대회에서도 보안 허점이 발견되지 않았습니다.</DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV>이번에 열린 2011 PWN TO OWN 에선 작년과 거의 동일한 룰을 가지고 있었는데,</DIV> <DIV>모바일 해킹에 대한 부분은 상당히 재미있는 룰을 적용하였습니다.</DIV> <DIV><BR></DIV> <DIV><BR></DIV> <DIV><img src="https://t1.daumcdn.net/cfile/cafe/197D4B3A4DB7CA3C2F" class="txc-image" style="FLOAT: none; CLEAR: none" actualwidth="325" border="0" hspace="1" vspace="1" width="325" id="A_197D4B3A4DB7CA3C2F823C"/></DIV> <DIV><BR></DIV> <DIV>사진으로 보이는 감시 장치를 통해 모니터로 보면서 손가락만으로</DIV> <DIV>해킹해야만 하는 제한이 붙게 되었습니다. 대상 모바일 폰은 아래와 같습니다.</DIV> <DIV>델 윈도7, 아이폰4, 블랙베리6, 넥서스 S</DIV> <DIV><BR></DIV> <DIV><A href="http://twitter.com/VUPEN/status/45665151776600064" target=_blank><FONT color=#000000>http://twitter.com/VUPEN/status/45665151776600064</FONT></A></DIV> <DIV><FONT color=#dddddd><BR></FONT></DIV> <DIV>아직 대회가 진행중이며, 참가팀 중 한명이 트윗한 글에 따르면</DIV> <DIV>애플 사파리 (맥 OSX x64) 를 5초만에 보안을 깨뜨리는데 성공했다고 합니다.</DIV> <DIV>대회 첫째날의 결산은 몇시간 있다 올라올 예정입니다.</DIV> <DIV> <P> </P> <P><BR><FONT color=#000000>원본출처 :<BR><BR></FONT><A href="http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011" target=_blank><FONT color=#000000>http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011</FONT></A><FONT color=#000000> </FONT></P><BR></DIV></DIV></DIV></TD></TR></TBODY></TABLE></P>