IE8 보안기능 강화된 Beta2 버전 발표

마이크로소프트(MS)사는 지난 2일 오전 IE 블로그를 통해 오는 8월 공개 예정인 IE8(Internet Explorer 8) Beta2 버전에 새로 추가되는 보안기능을 5개 부분으로 나누어 발표했다.

 

이 보안 기능중에는 XSS Filter 기능이 추가되어있어 세계의 관심을 끌고 있다.

또한 IE7 의 Phishing Filter의 기능이 향상된 Safety Filter 와 Anti-Malware 기능을 추가해 보안이 한층 강화되었다.

 

                                 <IE8의 Safety Filter (Microsoft)>

 

<Malware 사이트의 SmartScreen 차단화면과 안전하지 않은 파일차단 (Microsoft)>

‘XSS(Cross site Scripting)’의 취약점을 노린 공격은 특히 포털 사이트에서 두려워하고 있는 공격중에 하나이다. 이 공격은 주로 취약한 게시판에 XSS 스크립트를 사용함으로써 악성코드를 유포하거나 특정 사이트로 사용자를 유도한다. 대부분의 XSS 스크립트는 사용자에게 보이지 않게 숨겨져 있으며 해당 스크립트가 있는 사이트에 접속하는 유저는 자신도 모르게 악성코드를 다운로드하게된다. 이 뿐만 아니라 개인정보가 포함된 쿠키를 전송하게되어 자신의 권한을 해커에 빼앗기게 된다.

┖XSS(Cross site Scripting)┖ 2007년 국제웹보안표준기구인 OWASP 10대 웹 보안 취약점 중에 하나였으며, Web 2.0 보안의 가장 큰 화두이기도 하다.

IE8 의 XSS Filter 기능은 브라우저 상에서 모든 요청 / 응답을 관찰한다.

이 필터가 크로스 사이트에있는 XSS의 요청을 발견하게되면 공격인지 아닌지를 식별하게 되며 서버의 응답의 경우에는 스크립트를 실행하게 된다.

        <IE8에서 XSS Filter 기능을 통하여 XSS Attack가 차단된 화면 (IE blog)>

또한 IE8 은 XSS 스크립트 신규 패턴에 대응하기 위한 공유사이트인 xssed.com과 같은 사이트에 나와있는 XSS 취약점에서 정상적으로 동작한다고 밝혔다.

[강성민 객원기자(reporter@boannews.com)] 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>