A3 보안 컨설팅
제목 : Cookie Data in IE Can Be Exposed or Altered Through Script Injection
분류 : [Adv] A3 Security Advisory
1. 설명
인터넷 웹사이트의 방문기록을 남겨 사용자와 웹사이트 사이를 매개해 주는 정보로 쿠키를 사용한다. 쿠키는 사용하는 웹브라우저가 자동으로 만들기도 하고 갱신하기도 하며 웹사이트로 기록을 전달하기도 한다.
각각의 사이트는 사용자 시스템에서 자신의 쿠키를 유지해야 하며 오직 자신의 쿠키만을 접근할 수 있다.
그런데 IE zone을 통한 쿠키관리상의 오류로 인해 사이트가 사용자의 쿠키에 대한 비인가된 접근을 획득하고 쿠키의 값을 변경할 수 있는 취약점이 발견 되었다.
기형의 URL를 사용하는 악의의 웹사이트에서 사용자 쿠키를 접근하고 변경할 수 있으며, 이러한 URL이 웹페이지에서 호스팅되거나 HTML email내에 포함될 수 있다.
2. 결함기종
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
3. 해결책
IE에 대한 패치를 적용한다.
http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp
저작권자 © 데이터넷 무단전재 및 재배포 금지
