야후, 이메일 훔쳐볼 수 있는 취약점 발견

2016-12-12 14:37
방수호 前 기자 scavenger@bodnara.co.kr

야후(Yahoo!) 이메일 서비스에서 타인이 이메일을 훔쳐볼 수 있는 취약점이 있다는 소식이 전해졌다.

이번 취약점은 핀란드 보안기업 Klikki Oy의 연구원이 발견한 것으로, 야후의 XSS (Cross-Site Scripting) 취약점 때문에 사용자가 악성코드가 포함 된 이메일을 열기만 해도 감염 되고 그 시스템에서 해커가 피해자의 이메일을 확인할 수 있다.

야후 이메일 서비스에서 HTML 필터링 기능이 악성코드를 제대로 걸러내지 못하고 HTML 속성에서 자바(JAVA) 스크립트 용도로 각각의 앱 데이터를 저장하는데 그것이 공격 경로로 사용 된 것으로 추정 된다.

이번 취약점을 발견한 연구원은 AJAX (비동기식 자바 스크립트&XML)를 사용해서 이메일을 야후 계정으로 보내고 그 이메일을 열어본 상태에서 받은 편지함의 이메일들을 읽는 것과 공격자의 서버로 전송 가능한지 검증해보았다.

따라서 야후 서비스 사용자들은 대비책이 마련 되기 전까지는 낯선 이메일을 받으면 아예 삭제하는 것이 보안상 안전하다.

비회원

보드나라 많이 본 뉴스

보드나라 많이 본 기사

보드나라 최신 기사

[12/12] 넷마블 신작 <뱀피르>, ‘디렉터스 코멘터리’ 경쟁편 공개

[12/12] AWS, 국내 AI 도입 확산세 확인

[12/12] '천상비M', 카카오엔터테인먼트 인기 웹툰 '북검전기' 콜라보 발표!

[12/12] 시스템베이스, 다이렉트/크로스 서지 젠더 2종 동반 출시!!

[12/12] 소리샵, 부메스터(Burmester) 풀 패키지 프로모션 진행

[12/12] 에스넷시스템, KT와 국내 최초 성균관대 전 캠퍼스 5G 특화망 구축

[12/12] 넥슨, ‘블루 아카이브’ 글로벌 PC 버전 스팀 정식 출시!

[12/12] 현대인의 여행과 출장길 동반자, 벨킨 부스트차지 시리즈

[12/12] MSI, 지포스 그래픽카드 사고 스팀 월렛 받자

[12/12] 포켓몬코리아, 메타몽 프로젝트 in 부산 개최 예고

[12/12] 마이크로닉스, 실버스톤 FLP01 레트로 케이스 출시

[12/12] LAPIN(라핀), 닌텐도 스위치 패키지판 호평 예약 접수 중

[12/12] 넷이즈게임즈, 데스티니: 라이징 글로벌 출시 발표

[12/12] 크래프톤, 인도 최정상 프로팀 초청 BGMI e스포츠 대회 개최

[12/12] 에이수스, 팬리스 임베디드 컴퓨터 EBS-S510W/EBS-P310W 출시

[12/12] Niantic, Pokemon GO 피카츄의 사계여행: 청량한 여름파티 진행

[12/12] 영혼 키우기 x 귀환자의 마법은 특별해야 합니다, 콜라보 사전예약 실시

[12/12] 2K, WWE 2K25 닌텐도 스위치2 버전 오는 23일 전 세계 동시 출시

[12/12] OneUI 8서 삼성전자 멀티 폴드 스마트폰 애니메이션 유출

[12/12] 슈퍼지구의 민주주의 전파, 헬다이버즈 2 엑스박스로 출시