| 이미지 실행만으로「치명적 결함」발생 |
| Robert Lemos |  참여 |
| 2004/08/09 |  |  |  |    |
 오픈소스 이미지 포맷인 PNG(portable network graphics)에서 6가지 보안 결함이 발견됐다. 이 결함으로 리눅스 컴퓨터 뿐만 아니라 맥OS X, 윈도우 PC도 공격 대상이 될 수 있다. 이 보안 결함은 PNG 파일 형식을 지원하는 라이브러리에서 발견됐다. PNG는 모질라나 오페라 브라우저, 그리고 여러 이메일 클라이언트에서 광범위하게 사용되는 이미지 포맷이다. 이 문제를 발견한 독립 보안 연구가 크리스 에반스에 따르면 libPNG 실행으로 문제가 될 수 있는 프로그램은 애플 컴퓨터의 맥 OS X의 메일 애플리케이션과 윈도우의 오페라 및 IE 브라우저, 솔라리스의 모질라와 넷스케이프 브라우저 등이다. 에반스는 모든 플랫폼에서 이 취약점들이 모두 작동하는지는 테스트 해보지 못했다고 말했다. 에반스는 이미지를 실행시키면 2개의 오픈소스 브라우저가 다운되는 것을 가장 심각한 취약점으로 꼽으며 “가장 우려되는 점은 감염된 PNG 파일이 그래픽 이메일 클라이언트를 사용하는 사람들에게 이메일로 보내져 이미지가 디코딩 되는 경우”라고 밝혔다. 이번 취약점이 공개된 지난 4일 모질라와 파이어폭스 브라우저, 썬더버드 이메일 클라이언트 개발을 관장하고 있는 모질라 파운데이션은 이들 취약점에 대해 즉각 패치를 내놨다. MS 대변인은 5일 오후, 자사에서도 이번 문제에 대해 주시하고 있다고 밝혔다. MS 대변인은 "MS는 이번 취약점이 얼마나 많은 컴퓨터들이 감염시켰는지, 혹은 얼마나 큰 영향을 미쳤는지 보고받은 적은 없지만 지금까지 공개된 여러 가지 보고서들을 통해 조사를 벌이고 있다"고 말했다. MS와 리눅스는 과거에도 PNG 파일 형식 때문에 보안 문제를 겪었다. 18개월 전 MS는 인터넷 익스플로러가 PNG를 처리하는데서 나타나는 결함에 ‘치명적(critical)'등급을 내린 바 있으며 2년 전 리눅스에서는 압축 프로그램의 취약점이 PNG를 비롯한 일부 파일 형식이 리눅스 상의 프로그램을 다운시키는 문제가 발생했다. libPNG의 패치가 적용된 버전은 리눅스 판매업체나 PNG 웹사이트에서 다운로드 할 수 있다. 보안 정보 서비스 회사인 시큐니아에서는 이번 취약점에 대해 2번째로 높은 위협 등급을 매기고 사용자들의 주의를 당부했다. 시큐니아는 경고문에서 "사용자들이 자신도 모르는 사이에 악성 사이트를 방문하거나 libPNG에 연결된 감염된 애플리케이션을 이용해 이메일을 열어봄으로써 약점을 노출시킬 수 있다"고 경고했다. 미컴퓨터긴급대응팀(CERT)은 지난 3일 PNG에 대한 경고를 발표하고, 회사들과 개인 사용자들에게 시스템을 업데이트할 것을 권고했다. @ |
executable file이나 macro file만 위험하다고 생각했는 데,
decoding library에 결함이 있으면 data file도 문제가 될 수 있군.;;a
댓글 없음:
댓글 쓰기