2013년 업그레이드 통해 생겨난 취약점, 9년 동안 아무도 존재 몰라

요약 : 호드 웹메일(Horde Webmail)이라는 서비스에서 오래된 취약점이 뒤늦게 발견됐다. 이 취약점을 익스플로잇 하는 데 성공할 경우 피해자의 이메일 계정에 대한 완전 제어 권한을 가져갈 수 있게 된다고 한다. 9년 전 325a7ae라는 커밋을 처음 도입하면서 취약점이 생겨났다. 그 이후 나온 모든 버전들에 취약점이 존재한다. 6개월 전에 개발사에 연락을 취했지만 아직까지 패치가 없다.


배경 : 호드 웹메일은 무료, 기업형 이메일 솔루션 중 하나로 브라우저를 기반으로 하고 있으며 여러 대학 및 정부 기관들에서 사용하는 것으로 알려져 있다. 오픈오피스(OpenOffice) 문서를 악의적으로 조작함으로써 취약점을 익스플로잇 할 수 있다.

말말말 : “피해자가 브라우저를 통해 악성 오픈오피스 문서를 열람하면 취약점이 발동됩니다. 그러므로 브라우저에서 오픈오피스 문건이 자동으로 열람되는 기능을 막는 것이 최선의 방어법입니다.” -소나소스(Sonarsource)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>