야후, 이메일 훔쳐볼 수 있는 취약점 발견

2016-12-12 14:37
방수호 前 기자 scavenger@bodnara.co.kr

야후(Yahoo!) 이메일 서비스에서 타인이 이메일을 훔쳐볼 수 있는 취약점이 있다는 소식이 전해졌다.

이번 취약점은 핀란드 보안기업 Klikki Oy의 연구원이 발견한 것으로, 야후의 XSS (Cross-Site Scripting) 취약점 때문에 사용자가 악성코드가 포함 된 이메일을 열기만 해도 감염 되고 그 시스템에서 해커가 피해자의 이메일을 확인할 수 있다.

야후 이메일 서비스에서 HTML 필터링 기능이 악성코드를 제대로 걸러내지 못하고 HTML 속성에서 자바(JAVA) 스크립트 용도로 각각의 앱 데이터를 저장하는데 그것이 공격 경로로 사용 된 것으로 추정 된다.

이번 취약점을 발견한 연구원은 AJAX (비동기식 자바 스크립트&XML)를 사용해서 이메일을 야후 계정으로 보내고 그 이메일을 열어본 상태에서 받은 편지함의 이메일들을 읽는 것과 공격자의 서버로 전송 가능한지 검증해보았다.

따라서 야후 서비스 사용자들은 대비책이 마련 되기 전까지는 낯선 이메일을 받으면 아예 삭제하는 것이 보안상 안전하다.

비회원

보드나라 많이 본 뉴스

보드나라 많이 본 기사

보드나라 최신 기사

[12/12] 젠하이저, 중·대형 회의실용 천장형 마이크 ‘TCC M 플러스’ 출시

[12/12] 엔비디아 젠슨 황 CEO, 한국 AI 생태계 전방위 협력 강화

[12/12] 다이슨 에어랩 코안다2x 멀티 스타일러 앤 드라이어 업그레이드 출시

[12/12] 한국레노버, 아이디어센터 AIO 2종 및 아이디어패드 슬림 3i 출시

[12/12] 틱톡, 글로벌 라이브 토너먼트 ‘커뮤니티 페스트 2026’ 개최

[12/12] 서린씨앤아이, HYTE x 건담 윙 콜라보레이션 한정판 라인업 국내 출시

[12/12] 온세미, 업계 최초 ‘엘리트 페어링 스튜디오’ 공개

[12/12] 넷마블 <왕좌의 게임: 킹스로드>, 신규 지역 ‘스톰랜드’ 추가 등 업데이트 진행

[12/12] 로크웰 오토메이션, 산업 사이버보안 솔루션 ‘SecureOT’ 신규 제품 3종 출시

[12/12] 로지텍, 인벤타리오서 특별한 체험 공간 ‘LOGI'S PLAY ROOM’ 운영

[12/12] 다크플래쉬, DRX90 AERO MESH RGB 출시

[12/12] 더운 여름 속 시원한 성능으로 달린다, 기가바이트 지포스 RTX 5070 Gaming OC 제이씨현

[12/12] 델 테크놀로지스, 한국 시장을 이끌 새로운 리더십 발표

[12/12] ams OSRAM, 차량용 헤드램프용 microLED 기술을 AI 데이터센터로 확대

[12/12] KSTEC, AI 기반 ‘스마트 IDP 솔루션’ 출시

[12/12] 라이엇 게임즈, LoL 2026 시즌 2 신규 챔피언 ‘로크’ 공개

[12/12] 데이터독 고객 자율화 지원 및 AI 보안 복잡성 관리를 위한 100여 개 신규 기능 출시

[12/12] 콕스, 타건감 디자인 모두 갖춘 풀배열 기계식 키보드 ‘CPL108’ 신규 스위치 출시

[12/12] 조텍, 컴퓨텍스 2026 성료.. 20주년 한정판부터 게이밍, AI 및 엔터프라이즈 등 라인업 선보여

[12/12] BYD코리아, 2026 부산모빌리티쇼 참가