| [ WWW ] in KIDS 글 쓴 이(By): virt ( TЯIV) 날 짜 (Date): 1997년11월16일(일) 03시31분01초 ROK 제 목(Title): [정보] ie4.0 보안관련 버그. 나우누리 윈동에서 퍼옵니다. ----- 제 목 : [정보] IE 4.0 Buffer Overrun 문제 (보안버그) 올린이 : devil525(곽승현 ) 97/11/13 17:18 읽음 : 391 관련자료 없음 ----------------------------------------------------------------------------- 안녕하십니까? 진이아빠입니다. 에궁.. 잠적한다고 하고 방황했더니 중요 문제가 알려졌네용.. 11월 11일자로 발표된 IE 4.0 의 보안관련 문제입니다. 아래 글은 하이텔에서 펐으며 윈동 자료실에 등록을 해놨습니다. 직접 받으실 분은 요기로... http://www.microsoft.com/msdownload/ieplatform/ie4bufferpatch/patch.htm 이제 퍼온 글 나갑니다. <인터넷 익스플로러 4.0 보안 버그 패치> 이번에 발견된 보안 관련 버그는 이전에 발견된 버그보다 더욱 심각한 것입니다. 11월 10일, L0PHT Heavy Industries라는 회사에서 발표한 바에 따르면 이것은 버퍼 오버런(Buffer-overrun)이라는 보안 버그입니다. 단, 이 버그는 윈도우 95에서 IE 4.0을 사용하는 경우에만 해당합니다. 혹시나 해서 멤피스 한글 1588에서 실험해 본 결과, 이런 문제는 나타나지 않았습니다. <아래는 여기서 발표한 내용을 간단하게 요약한 글입니다.> IE 4.0은 res://로 시작되는 새로운 URL 프로토콜을 인식할 수 있는데, 이것은 로컬 DLL 파일에 포함된 로컬 리소스에 액세스할 때 사용하는 프로 토콜입니다. 이 URL은 익스플로러에서 최대 256 문자까지 인식이 가능합니다. 그런데 만약 이 어드레스가 256 문자를 넘어가게 되면 256문자까지는 버퍼에 저장을 하고, 나머지 문자, 즉 257번째 문자부터는 컴퓨터의 메모리에 이것을 저장하게 됩니다. 즉 스택에 저장이 됩니다. 이 상태에서 시스템에서 임의 코드를 실행하게 되면 버퍼는 이미 긴 링크 문자 열 때문에 오버플로우가 일어나고, 이 명령은 다시 스택에 자리잡게 됩니다. 그런 다음, 이 명령을 실행시키게 됩니다. 그런데 문제는 이미 여기에 저장되어 있던 나머지 257번째 이후 문자에 웹 페이지 제작자가 악의적으로 바이러스 코드를 입력해두었다면 명령을 실행함과 동시에 이 코드가 작동하면서 시스템이 다운되거나 AUTOEXEC.BAT 파일을 수정해버리는 등의 다양한 방법으로 시스템을 망가뜨릴 수가 있다는 것입니다. 이 문제는 IE 4.0에 있는 시스템 보안 등급을 최상으로 설정해도 막을 수가 없습니다 이전의 보안 버그는 단순히 타인의 시스템에 있는 자료를 열람만 할 수 있는 수준이었으나, 이번에 발견된 문제는 바이러스가 웹을 통해 자연스럽게 침투하기 때문에 바이러스 검색 프로그램으로도 막기가 힘들며, 시스템 자체가 날아가 버릴 수 있다는 점에서 심각하다고 할 수 있습니다. 쉽게 생각해서 HTML 메일에다 이런 식으로 링크를 만들어 보내면 상대방이 윈도우 95에서 IE 4.0을 사용하고 있는 상태라면 간단하게 상대방의 시스템을 날려버릴 수가 있게 됩니다. 실제 이런 문제가 발생하는지 확인하고 싶은 분은 http://www.L0pht.com/advisories/areusure.html로 접속해서 실험해보시기 바랍니다. 이 파일은 이런 버그가 발표된 지 하룻만에 마이크로소프트사에서 내놓은 패치 파일입니다. <설치하기> 1. 파일을 다운로드하면 resbuff.exe라는 파일이 생깁니다. 2. 이 파일을 더블 클릭하면 간단하게 설치가 됩니다. 참고하시고 패치 하십시오. ----- 개인적인 생각 - 1. 왜 res 같은 걸 만들고 그래? 2. 몰랐으면 몰랐겠지만 알았으니 고쳐야 겠네. 아이들은 미래를 물고 늘어지고 나이든 사람은 과거를 물고 늘어진다. 현재로부터 도망치기 위해 미래나 과거를 만들어낸다. 노인들의 미래는 과거이다. 시간으로부터 자유로울 수 있는 것은 '지금'을 통해서인데, 많은 사람들은 시간의 굴레에 묶여 있어야 편안하리만큼 무력하다. 과거와 미래를 원한다면 '지금 이 순간'을 원하지 않으면 안 된다. 새는 울고 꽃은 핀다. 중요한 건 그것밖에 없다. |