본문바로가기 3.22.181.81
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[안내] 인터넷 익스플로러 업그래이드요청
작성일 : 2003/10/07 작성자 : 전산정보팀 조회수 : 7633
평상시에 인터넷 서핑시에 주로 사용하게 되는 인터넷 익스플로러에 취약점이 발표되었습니다.
이 취약점을 이용하게 되면 특정 사이트에 접근 하는것만으로도 임의의 프로그램을
실행하여 자신도 모르는 사이에 다른사람에게 피해를 줄 수 있습니다.
반드시 아래의 내용을 참고하시어 인터넷 익스플로러를 업데이트 하시고 사용하시기 바랍니다.
 
--------------------------------------------------------------------------------

ASEC Advisory SA-2003-1002
인터넷 익스플로러 팝업 윈도우, XML 데이터 바인딩 버퍼오버플로우
최초 작성일 : 2002/10/05
마지막 개정 : 2002/10/06 16:20:00
위험 수준 : 높음

개요

인터넷 익스플로러는 팝업 윈도우와 XML 데이터 바인딩시 웹 서버로부터 응답되
는 오브젝트의 타입을 적절히 체크하지 않는데 문제점이 있다. 이 문제가 되는
취약점을 이용하여 공격자의 선택에 따라 임의의 코드를 실행할 수 있다.

공격유형
버퍼오버플로우

해당시스템
인터넷 익스플로러 5.01
인터넷 익스플로러 5.5
인터넷 익스플로러 6.0

영향

공격자는 사용자의 시스템에서 임의의 코드를 실행할 수 있게 된다.

설명

인터넷 익스플로러 5.01 버전부터 6.0 까지의 버전에서 2 개의 새로운 취약점이
발견되었다. 이 취약점은 아래에서 기술하고 있는 것과 같이 각 오브젝트의 태그
를 적절히 검사하지 않는데 문제점이 존재하여, 공격자는 사용자 시스템에서 임
의의 명령어를 실행할 수 있게 된다. 또한, 이를 악용한 웜으로의 발전가능성이
있는 만큼 사용자들의 주의가 필요하다.

- 팝업 윈도우 오브젝트 태그 취약점
인터넷 익스플로러는 Window.CreatePopup 스크립트 명령어를 이용하여 만들어진
창의 오브젝트 태그를 처리하는 과정에서 HTTP 응답시 적절히 파라미터를 체크하
지 않는다. 이 응답시에 공격자는 특정 명령어를 실행할 수 있도록 지정할 수가
있게 된다.
- XML 데이터 바인딩시의 오브젝트 태그 취약점
인터넷 익스플로러는 XML 데이터를 바인딩하는 과정에서 HTTP 응답시 적절히 파
라미터를 체크하지 않는다. XML 데이터 바인딩은 웹 페이지의 HTML 데이터를
XML 데이터로 바인딩할 수 있는 것을 의미한다. 예를 들면, XML 데이터 구조의
수치가 변화될 때 HTML 테이블의 내용을 업데이트 할 수가 있다.

공격자는 다음과 같은 방법으로 이 취약점을 악용할 수가 있다.

1. 취약점을 이용한 조작된 웹 페이지를 만들어 사용자들이 방문하게 만든다. 이것은
    사용자가 특정 행동이 필요 없이 웹 사이트를 방문하는 것으로도 공격자가 지정한
    임의의 코드를 실행할 수가 있게 된다.
2. 취약점을 이용한 조작된 HTML 기반의 이 메일을 발송한다.


해결책

이번 취약점은 MS03-040 에서 정의하고 있으며, 누적패치를 적용하여 해결할 수
있다. 다음의 URL 에서 언어별 패치 다운로드가 가능하다.

http://www.microsoft.com/windows/ie/downloads/critical/828750/default.asp


추가정보 / 참고사이트
- http://www.microsoft.com/korea/technet/security/bulletin/MS03-040.asp

원본 URL
http://home.ahnlab.com/securityinfo/user_seccontent.jsp?seq=5050
댓글 작성
최상단 이동 버튼