Apple의 Safari 웹 브라우져를 통해 PC의 바탕화면에 파일을 '융단 폭격(carpet bombing)'할 수 있는 취약점이 발견되었습니다. 이 취약점을 이용하면 특정 웹사이트를 방문했을 때 사용자의 동의 없이 PC의 바탕화면에 파일을 설치하는 것이 가능하다고 합니다.

단순히 파일의 설치만이 가능하긴 하지만 바탕화면에 바로가기 등의 파일을 설치함으로써 사용자를 유도하는 다양한 방법들을 생각하면 위험성은 적지 않을 것으로 보입니다. Microsoft의 보안권고문에 따르면 Safari 웹 브라우져의 기본 다운로드 경로를 바탕화면이 아닌 다른 폴더로 지정함으로써 이 위험성을 줄일 수 있습니다. 

이 취약점은 사실 <iframe> 등의 태그를 이용한 특정 파일을 기본 다운로드 경로로 사용자 동의 없이 내려받게 하는 방식이기 때문에 이는 단순히 파일이 바탕화면에 설치되는 것을 다른 경로로 우회시키는 것 뿐임은 참고하시기 바랍니다. 하지만 이렇게 함으로써 실수로 다운로드 받은 파일을 클릭할 가능성은 훨씬 적어지는 건 사실입니다.

이 취약점은 Nitesh Dhanjani라는 보안 전문가에 의해 발견되었으며 2개의 다른 취약점들과 함께 Apple 측에 통보되었다고 합니다. 다만 Apple 측에서는 이를 '좋은 제안(good suggestion)'으로 받아들이긴 하지만 보안 문제로 생각하고 있지는 않다고 합니다. 확실히 악성코드가 없는 맥 나라에서 와서 그런걸까요?

그나마 현재 세계적으로 Safari 웹 브라우져의 사용률은 0.3% 이하라고 하니 큰 이슈가 되진 않을 것 같습니다. :)
Posted by 알 수 없는 사용자
,