야후, 이메일 훔쳐볼 수 있는 취약점 발견

2016-12-12 14:37
방수호 前 기자 scavenger@bodnara.co.kr

야후(Yahoo!) 이메일 서비스에서 타인이 이메일을 훔쳐볼 수 있는 취약점이 있다는 소식이 전해졌다.

이번 취약점은 핀란드 보안기업 Klikki Oy의 연구원이 발견한 것으로, 야후의 XSS (Cross-Site Scripting) 취약점 때문에 사용자가 악성코드가 포함 된 이메일을 열기만 해도 감염 되고 그 시스템에서 해커가 피해자의 이메일을 확인할 수 있다.

야후 이메일 서비스에서 HTML 필터링 기능이 악성코드를 제대로 걸러내지 못하고 HTML 속성에서 자바(JAVA) 스크립트 용도로 각각의 앱 데이터를 저장하는데 그것이 공격 경로로 사용 된 것으로 추정 된다.

이번 취약점을 발견한 연구원은 AJAX (비동기식 자바 스크립트&XML)를 사용해서 이메일을 야후 계정으로 보내고 그 이메일을 열어본 상태에서 받은 편지함의 이메일들을 읽는 것과 공격자의 서버로 전송 가능한지 검증해보았다.

따라서 야후 서비스 사용자들은 대비책이 마련 되기 전까지는 낯선 이메일을 받으면 아예 삭제하는 것이 보안상 안전하다.

비회원

보드나라 많이 본 뉴스

보드나라 많이 본 기사

보드나라 최신 기사

[12/12] 제이씨현시스템(주), 나만의 아리와 함께하는 기가바이트 B850M AORUS ELITE WIFI7 ICE-P 메인보드 출시!

[12/12] 서린씨앤아이, KLEVV DDR5 RGB 포함 조립PC 구매 시 매드캣츠 RAT 2+ 증정

[12/12] 유니씨앤씨, 삼성전자 갤럭시북5 프로 프로360, 11월 7일 네이버 '넾다세일' LIVE 진행

[12/12] 삼성전자, '비스포크 AI 콤보' 신규 색상 2종 출시

[12/12] 넥슨, 방치형 RPG 신작 ‘메이플 키우기’ 6일 글로벌 정식 출시!

[12/12] ‘스노우 브레이크: 포비든 존’, 대규모 시즌 업데이트 ‘낙원의 저편’ 오픈

[12/12] 배틀그라운드, 포르쉐 협업과 함께 업데이트 진행

[12/12] 한국자동차공학회 '2025 추계학술대회 및 전시회' 개최

[12/12] 맥스엘리트, 1stPlayer GM7 ARGB BTF 케이스 출시.. 뛰어난 냉각 성능과 세련된 사선 디자인의 조화

[12/12] 넥슨, ‘던파 페스티벌: 20th ANNIVERSARY' 상세 프로그램 공개!

[12/12] 세계 최대 게임전시회 ‘게임스컴’, 부산 지스타 B2B 참가

[12/12] 배틀그라운드 모바일, 겨울 테마 ‘폴라 빌리지’ 모드 업데이트

[12/12] 무브인터렉티브, 디지몬 슈퍼럼블 ‘3주년 기념 대규모 이벤트’ 실시

[12/12] 엔비디아 젠슨황 APEC 한국 방문 비하인드 스토리, 기승전HBM으로 망친 인터뷰까지

[12/12] 넥슨, ‘FC 온라인’ 한국 대표팀 오프라인 행사 ‘FC 프로 페스티벌 2025’ 출전!

[12/12] ‘플레이투게더’ 구름 바다 위 ‘천룡의 섬’ 등장

[12/12] 그라비티 게임 어라이즈(GGA), 베이커리 경영 액션 ‘아르타(Aeruta)’ 글로벌 지역 정식 출시!

[12/12] 코스모스엔터테인먼트, '온라인삼국지2' 대규모 업데이트 단행!

[12/12] 컴투스 ‘서머너즈 워’, 11월 대규모 업데이트 'TOMORROW' 개발 이야기 공개

[12/12] 드림어스컴퍼니 플로(FLO), LG전자 ‘씽큐 온’ 공식 연동.. 탑재 기념 6개월 이용권 증정 프로모션 진행