Microsoft Internet Explorer XML Handling Remote Code Execution Vulnerability로 이번에 Microsoft사에서 Internet Explorer의 긴급보안 패치를 발표하였습니다.

전세계 웹 브라우져 점유율의 약 70%를 차지하는 Internet Explorer 전 버전에서 치명적인 결함인 XML을 처리하는 과정에 원격코드 실행이 가능한 취약점이 발견이 되었습니다. XML을 처리하는 과정에 원격코드 실행이 가능한 취약점이 발표되어서, MS사에서 긴급 패치를 내 놓게 되었습니다.

Internet Explorer에서 XML을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용하여 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도, 악성코드 등을 설치하여 취약한 시스템에 대한 완전한 권한 획득이 가능한 문제가 있다고 하군요.

위의 결함은 MS사의 모든 Internet Explorer버전에 해당된다고 하더군요. 그래서 요즘 사용하는 Internet Explorer 7뿐만 아니라 Internet Explorer 5, Internet Explorer 6, 거기에 이번에 나온 Internet Explorer 8 Beta 2까지 허점이 있다는 어마어마한 사실을 알게 되어서 뭔가 꺼림직 합니다.

Microsoft has updated its advisory four times. It expanded the list of potentially affected versions of Internet Explorer to include not only IE 7, but also IE 5.01 SP4, IE 6, IE 6 SP1, and IE 8 Beta 2. It also added several workaround options that involve disabling certain features.

아래는 MS사 홈페이지에서 보안 패치에 대한 설명입니다.

출처 : Internet Explorer 보안 업데이트 (960714)
Microsoft 보안 공지 MS08-078 - 긴급

Internet Explorer 보안 업데이트 (960714)
게시 날짜: 2008년 12월 18일

버전: 1.0

일반 정보
요약
이 보안 업데이트는 일반에 공개된 취약점 1건을 해결합니다. 이 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

이 보안 업데이트의 심각도는 Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 서비스 팩 1 및 Internet Explorer 7에 대해 긴급입니다. Internet Explorer 8 Beta 2에 대한 추가 정보는 이 보안 업데이트와 관련된 자주 제기되는 질문 사항 섹션을 참조하십시오. 자세한 내용은 이 섹션에서 영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어를 참조하십시오.

보안 업데이트는 악용 가능 조건을 발생시키는 Internet Explorer의 데이터 바인딩 매개 변수 유효성 확인 및 오류 처리 방식을 수정하여 취약점을 제거합니다. 취약점에 대한 자세한 내용은 다음 섹션, 취약점 정보에서 취약점 항목의 자주 제기되는 질문 사항(FAQ)을 참조하십시오.

이 보안 업데이트는 Microsoft 보안 권고 961051에서 처음 설명한 취약점도 해결합니다.

이러하여 긴급 보안 패치를 설치하게 되었습니다.

위의 긴급 보안 패치(KB960714)를 적용하면 XML을 처리하는 과정에 원격코드 실행이 가능한 취약점를 수정한다고 하더군요.

얼른 업데이트를 하여 보안 취약성을 없애 안전한 인터넷 서핑을 해봅시다.

설치한후의

설치를 하고 나서 스크린 샷으로 찍은 Internet Explorer 제품 정보입니다.

Buy me a coffeeBuy me a coffee

이번에 IE8 BETA2가 나와서 IE6,7과 어떻게 다른지 궁금하여 설치를 해보았습니다.

Windows Internet Explorer 8 Beta 2 for Windows XP

IE8 설치 다운로드 홈페이지

IE8 Beta2 파일을 다운로드를 받아서 파일을 실행시켜 설치를 실행하였습니다.

실행을 하니 아래와 같은 화면이 나옵니다. 설치할때 계속 클릭만 하시면 쉽게 설치가 됩니다.

설치를 끝내고 다시 부팅을 하여 실행을 해보았습니다.

IE8 설치후 실행한 화면

IE8 설치후 실행한 화면 (협찬 : Daum Communications)

IE8 Beta 2를 실행해보니 외관상은 IE7과 구성은 비슷하더군요. 그러나 정보에서 IE8로 변하였다는 것이 보였고, IE7보다 렌더링 속도가 빠름을 체감을 하였습니다.

그리고 Firefox3에서 새로나온 Awesom bar와 같은 기능이 생겼더군요. IE8 Beta2는 Firefox3의 점유율을 잡기 위해서 야심하게 준비한 IE8정식버전 테스트용이기때문에, M$사에서 Firefox3를 따라잡을려는 노력을 많이 한 것 같더군요.

Firefox 3 Awesome bar

Firefox 3 Awesome bar

주소표시줄 자동 완성 보여주기

IE8 주소표시줄 자동 완성 보여주기

Internet Explorer 8에서 나오는 주소표시줄 자동 완성 보여주기기능은 Firefox3보다는 생각보다 불편하게 느껴집니다.

은행홈페이지에 접속을 하여 보았습니다. ActiveX 실행을 웬간해선 안 할려는 모습이 보이더군요. "실행 하겠습니까?" 이런 메시지가 많이 뜹니다. ActiveX로 떡칠된 대한민국에서 IE8이 정식버전으로 나올때 어떤 기사가 나올지는...... 상상에 맡기면 되겠습니다.

아직 Beta2 라서 그런지 웹 브라우져로 서핑할때에 불편한 점이 있었습니다. Internet Explorer 7에서 제대로 작성되는 Tistory편집 화면이 제대로 작동되지 않습니다. 이건 Internet Explorer 8의 JAVA Script 해석능력이 완성되지 않음을 보여주는 것입니다. 스프링노트를 작성할때에도 Internet Explorer8에서는 불안한 모습을 연출하였습니다. (그래도 Opera보단 JAVA Script는 이해 잘 하군요.)

다른 브라우저(ex. Firefox, seamonkey, etc)와 다르게 Inernet Explorer 8 Beta 2를 설치하면 기존에 있던 Internet Explorer 6,7을 덮어 씌우게 되어서 예전 버전을 쓸수 없는 경우가 생길 겁니다. Internet Explorer8이 완성된 프로그램이 아니니 IE6,7에서 작동되던 홈페이지가 IE8에서는 작동이 안되는 버그들이 수두룩할겁니다.

그렇기 때문에 IE8에서 IE6,7에서 본것 같이 보고 싶으면 호환성뷰를 클릭하여 보시면 IE6,7에서 작동하는 것 처럼 볼 수 있습니다.

M$ Internet Explorer 8에서 호환성 뷰에 대한 설명을 보면 아래와 같습니다.

호환성 뷰: 이전 버전의 브라우저용 웹 사이트가 더 잘 보이고 자리를 벗어난 메뉴, 이미지 또는 텍스트와 같은 문제가 해결됩니다.

호환성 뷰

호환성 뷰

IE8에서 사용하는 프로세스는 ...... Firefox같이 탭을 많이 안 띄운 것인데도 이렇게 프로세스를 많이 잡아 먹습니다.

실행한지도 얼마 되지 않았는데 무슨 메모리를 잡아 먹고 ㅠㅠ 아직 Internet Explorer 8은 Beta2라서 완성된 모습은 아닙니다.

다만 Internet Explorer 8에 대해서 빨리 접하고 싶은 분께서만 깔아 써보시길 권장합니다. 도전정신이 없다면 정식버전이 나왔을때 까시기 바랍니다.

Buy me a coffeeBuy me a coffee
제 노트북에 있던 IE6를 IE7로 업그레이드를 시켰습니다.
Firefox로 Google Mail을 쓰던중, M$사에서 자꾸 IE7로 업그레이드를 하라는 업데이트알림을 보는 것이 짜증났습니다. 그런데 Google Mail에서 "Google에 최적화된 Internet Explorer 7, 지금 업그레이드 하십시오." 라는 문구를 보고 'IE7로 업그레이드 하자!'를 결심하게 되었습니다.
아래는 제가 IE7을 다운로드 받기 전에 캡쳐한 화면입니다.
IE7설치 권장하는 Google사이트

IE7설치 권장하는 Google사이트


탭브라우징기능과 RSS구독기능 등등 IE6에서 없던 기능이 있으니까 써보고 싶었습니다. 노트북에서 IE6을 쓰다보니까 계속 불편하여서 IE7로 업그레이드 할까 말까를 고민하다 이번에 업그레이드를 했습니다.
그런데 M$사에서 직접 업그레이드 시켜주는 것은 Google검색이 없기 때문에 섭섭했습니다. 전 Google신을 좋아하니까요. (저한텐 M$사의 Live검색은 그닥 불편하게 느껴집니다.) 그래서 Google에 최적화된 Internet Explorer 7 로 업그레이드를 했습니다.
IE7로 업그레이드를 한 결과

Google에 최적화된 Internet Explorer 7로 업그레이드를 한 결과


이제 제 노트북에는 IE7이 깔렸습니다. 이제 IE6과는 안타깝게도 이별입니다.
이제 M$사에서는 IE7로 강제 업그레이드를 시키려고 하기때문에 저도 대세를 따라 IE7로 업그레이드를 했습니다. 오랬동안 쓰던 IE6과 이별했습니다 :)
Buy me a coffeeBuy me a coffee

+ Recent posts