우리나라에서는 그리 자주 사용하는 프로그램은 아니지만 AIM에 대한 심각한 보안 취약점이 발견된 가운데 이에 대한 패치가 제대로 제공되지 않았다는 소식을 정리해서 알려 드립니다.
최근 AOL에서 제공하는 메신저인 AIM(AOL Instant Messenger)에서 보안 취약점이 발견된 적이 있습니다.
이 취약점은 지난 달에 보고된 것으로, 임베디드된 HTML 코드를 지원하는 데에서 발생하는 것으로 알려졌습니다. 즉, 메신저의 창에서 HTML 코드를 지원하는 기능에서 발생합니다.
AOL 社는 이 취약점을 해결하기 위해 최신 베타 버전에 픽스를 발표했습니다. 하지만, Aviv Raff라는 보안 전문가는 '아직도 취약점이 제대로 해결되지 않았다'고 주장하며 이에 대한 증거로 윈도우 보조 프로그램인 계산기를 실행된다는 것을 밝혔습니다.
윈도우 프로그램을 실행할 수 있다는 의미는 사용자가 로그온한 권한을 그대로 이용하여 다양한 공격을 취할 수 있다는 의미로 매우 심각한 문제점이 아닐 수 없습니다.
알려진 공격 유형은 다음과 같습니다.
- 사용자의 개입없이 원격에서 의도된 명령어를 직접 실행.
- IE 버그를 이용하여 직접 잇스플로잇 공격을 수행.
- IE의 스크립트 코드를 직접 삽입.
- 임베디드된 HTML을 사용하여 XSS 공격 수행.
관련 자료: http://blogs.zdnet.com/security/?p=542
