야후, 이메일 훔쳐볼 수 있는 취약점 발견

2016-12-12 14:37
방수호 前 기자 scavenger@bodnara.co.kr

야후(Yahoo!) 이메일 서비스에서 타인이 이메일을 훔쳐볼 수 있는 취약점이 있다는 소식이 전해졌다.

이번 취약점은 핀란드 보안기업 Klikki Oy의 연구원이 발견한 것으로, 야후의 XSS (Cross-Site Scripting) 취약점 때문에 사용자가 악성코드가 포함 된 이메일을 열기만 해도 감염 되고 그 시스템에서 해커가 피해자의 이메일을 확인할 수 있다.

야후 이메일 서비스에서 HTML 필터링 기능이 악성코드를 제대로 걸러내지 못하고 HTML 속성에서 자바(JAVA) 스크립트 용도로 각각의 앱 데이터를 저장하는데 그것이 공격 경로로 사용 된 것으로 추정 된다.

이번 취약점을 발견한 연구원은 AJAX (비동기식 자바 스크립트&XML)를 사용해서 이메일을 야후 계정으로 보내고 그 이메일을 열어본 상태에서 받은 편지함의 이메일들을 읽는 것과 공격자의 서버로 전송 가능한지 검증해보았다.

따라서 야후 서비스 사용자들은 대비책이 마련 되기 전까지는 낯선 이메일을 받으면 아예 삭제하는 것이 보안상 안전하다.

비회원

보드나라 많이 본 뉴스

보드나라 많이 본 기사

보드나라 최신 기사

[12/12] 인텔 메인스트림 CPU의 왕위 계승, 코어 울트라 7 270K Plus

[12/12] 앱코, 0.3ms (GTG OD) 초고속 응답속도와 퀀텀닷 색감의 조화, ‘하이퍼뷰 QD-TN24F300’ 출시

[12/12] 대원씨티에스, B850M Challenger WiFi 7 White 메인보드 출시

[12/12] 에이수스, 엔비디아 Vera Rubin 플랫폼 기반 ‘수냉식 AI 인프라’ 공개

[12/12] 아우토크립트, 오토모티브 테스팅 엑스포 코리아서 차량 사이버보안 테스팅 플랫폼 CSTP 공개

[12/12] 컴투스, ‘2026 KBO 리그’ 공식 스폰서십 체결

[12/12] 이엠텍, 레드빗 68W PD충전기 구매 시 C to C 100W 케이블 증정 이벤트 진행

[12/12] 제이씨현, 탄탄한 실력과 실속을 갖춘, BIOSTAR A520MSP 메인보드 출시!

[12/12] AMD 라이젠 9 9950X3D2, 원래 출시 일정은 3월 16일?

[12/12] ‘젠레스 존 제로’, PC방 서비스 오픈 기념 이벤트 실시

[12/12] 넷마블, 멀티형 오픈월드 RPG <일곱 개의 대죄: Origin> 그랜드 론칭 앞서 모바일 다운로드 시작

[12/12] 넷마블 <왕좌의 게임: 킹스로드>, 유저 초청 시연회 ‘The First’ 성료

[12/12] KARA, ‘2026 FIA 카팅 아시아-퍼시픽 챔피언십’ 한국 대표 선발 본격화

[12/12] 넥슨, ‘FC 온라인’ 국내 최상위 리그 ‘2026 FSL 스프링’ BNK FEARX ‘NoiZ’ 노영진 우승!

[12/12] 넥슨 '메이플스토리', 방탄소년단 진과 두 번째 컬래버레이션 실시

[12/12] 빌리빌리 게이밍, '퍼스트 스탠드' 제패! 창단 첫 국제 대회 우승

[12/12] 로지텍, 국내 주요 기업 고객 파트너와 미래 업무 환경 논의 위한 ‘Logi Work Korea’ 개최

[12/12] 덱빌딩 로그라이트 신작 '덱랜드', 3월 23일 얼리 액세스 발매!

[12/12] 소니 플레이스테이션에 프레임 생성 기능 탑재 계획, 시점은 미정

[12/12] 펄어비스, 인텔 아크 그래픽 카드 사용자에 붉은사막 구매자 환불 권유