Microsoft Internet Explorer XML Handling Remote Code Execution Vulnerability로 이번에 Microsoft사에서 Internet Explorer의 긴급보안 패치를 발표하였습니다.

전세계 웹 브라우져 점유율의 약 70%를 차지하는 Internet Explorer 전 버전에서 치명적인 결함인 XML을 처리하는 과정에 원격코드 실행이 가능한 취약점이 발견이 되었습니다. XML을 처리하는 과정에 원격코드 실행이 가능한 취약점이 발표되어서, MS사에서 긴급 패치를 내 놓게 되었습니다.

Internet Explorer에서 XML을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용하여 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도, 악성코드 등을 설치하여 취약한 시스템에 대한 완전한 권한 획득이 가능한 문제가 있다고 하군요.

위의 결함은 MS사의 모든 Internet Explorer버전에 해당된다고 하더군요. 그래서 요즘 사용하는 Internet Explorer 7뿐만 아니라 Internet Explorer 5, Internet Explorer 6, 거기에 이번에 나온 Internet Explorer 8 Beta 2까지 허점이 있다는 어마어마한 사실을 알게 되어서 뭔가 꺼림직 합니다.

Microsoft has updated its advisory four times. It expanded the list of potentially affected versions of Internet Explorer to include not only IE 7, but also IE 5.01 SP4, IE 6, IE 6 SP1, and IE 8 Beta 2. It also added several workaround options that involve disabling certain features.

아래는 MS사 홈페이지에서 보안 패치에 대한 설명입니다.

출처 : Internet Explorer 보안 업데이트 (960714)
Microsoft 보안 공지 MS08-078 - 긴급

Internet Explorer 보안 업데이트 (960714)
게시 날짜: 2008년 12월 18일

버전: 1.0

일반 정보
요약
이 보안 업데이트는 일반에 공개된 취약점 1건을 해결합니다. 이 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

이 보안 업데이트의 심각도는 Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 서비스 팩 1 및 Internet Explorer 7에 대해 긴급입니다. Internet Explorer 8 Beta 2에 대한 추가 정보는 이 보안 업데이트와 관련된 자주 제기되는 질문 사항 섹션을 참조하십시오. 자세한 내용은 이 섹션에서 영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어를 참조하십시오.

보안 업데이트는 악용 가능 조건을 발생시키는 Internet Explorer의 데이터 바인딩 매개 변수 유효성 확인 및 오류 처리 방식을 수정하여 취약점을 제거합니다. 취약점에 대한 자세한 내용은 다음 섹션, 취약점 정보에서 취약점 항목의 자주 제기되는 질문 사항(FAQ)을 참조하십시오.

이 보안 업데이트는 Microsoft 보안 권고 961051에서 처음 설명한 취약점도 해결합니다.

이러하여 긴급 보안 패치를 설치하게 되었습니다.

위의 긴급 보안 패치(KB960714)를 적용하면 XML을 처리하는 과정에 원격코드 실행이 가능한 취약점를 수정한다고 하더군요.

얼른 업데이트를 하여 보안 취약성을 없애 안전한 인터넷 서핑을 해봅시다.

설치한후의

설치를 하고 나서 스크린 샷으로 찍은 Internet Explorer 제품 정보입니다.

Buy me a coffeeBuy me a coffee

이번에 IE8 BETA2가 나와서 IE6,7과 어떻게 다른지 궁금하여 설치를 해보았습니다.

Windows Internet Explorer 8 Beta 2 for Windows XP

IE8 설치 다운로드 홈페이지

IE8 Beta2 파일을 다운로드를 받아서 파일을 실행시켜 설치를 실행하였습니다.

실행을 하니 아래와 같은 화면이 나옵니다. 설치할때 계속 클릭만 하시면 쉽게 설치가 됩니다.

설치를 끝내고 다시 부팅을 하여 실행을 해보았습니다.

IE8 설치후 실행한 화면

IE8 설치후 실행한 화면 (협찬 : Daum Communications)

IE8 Beta 2를 실행해보니 외관상은 IE7과 구성은 비슷하더군요. 그러나 정보에서 IE8로 변하였다는 것이 보였고, IE7보다 렌더링 속도가 빠름을 체감을 하였습니다.

그리고 Firefox3에서 새로나온 Awesom bar와 같은 기능이 생겼더군요. IE8 Beta2는 Firefox3의 점유율을 잡기 위해서 야심하게 준비한 IE8정식버전 테스트용이기때문에, M$사에서 Firefox3를 따라잡을려는 노력을 많이 한 것 같더군요.

Firefox 3 Awesome bar

Firefox 3 Awesome bar

주소표시줄 자동 완성 보여주기

IE8 주소표시줄 자동 완성 보여주기

Internet Explorer 8에서 나오는 주소표시줄 자동 완성 보여주기기능은 Firefox3보다는 생각보다 불편하게 느껴집니다.

은행홈페이지에 접속을 하여 보았습니다. ActiveX 실행을 웬간해선 안 할려는 모습이 보이더군요. "실행 하겠습니까?" 이런 메시지가 많이 뜹니다. ActiveX로 떡칠된 대한민국에서 IE8이 정식버전으로 나올때 어떤 기사가 나올지는...... 상상에 맡기면 되겠습니다.

아직 Beta2 라서 그런지 웹 브라우져로 서핑할때에 불편한 점이 있었습니다. Internet Explorer 7에서 제대로 작성되는 Tistory편집 화면이 제대로 작동되지 않습니다. 이건 Internet Explorer 8의 JAVA Script 해석능력이 완성되지 않음을 보여주는 것입니다. 스프링노트를 작성할때에도 Internet Explorer8에서는 불안한 모습을 연출하였습니다. (그래도 Opera보단 JAVA Script는 이해 잘 하군요.)

다른 브라우저(ex. Firefox, seamonkey, etc)와 다르게 Inernet Explorer 8 Beta 2를 설치하면 기존에 있던 Internet Explorer 6,7을 덮어 씌우게 되어서 예전 버전을 쓸수 없는 경우가 생길 겁니다. Internet Explorer8이 완성된 프로그램이 아니니 IE6,7에서 작동되던 홈페이지가 IE8에서는 작동이 안되는 버그들이 수두룩할겁니다.

그렇기 때문에 IE8에서 IE6,7에서 본것 같이 보고 싶으면 호환성뷰를 클릭하여 보시면 IE6,7에서 작동하는 것 처럼 볼 수 있습니다.

M$ Internet Explorer 8에서 호환성 뷰에 대한 설명을 보면 아래와 같습니다.

호환성 뷰: 이전 버전의 브라우저용 웹 사이트가 더 잘 보이고 자리를 벗어난 메뉴, 이미지 또는 텍스트와 같은 문제가 해결됩니다.

호환성 뷰

호환성 뷰

IE8에서 사용하는 프로세스는 ...... Firefox같이 탭을 많이 안 띄운 것인데도 이렇게 프로세스를 많이 잡아 먹습니다.

실행한지도 얼마 되지 않았는데 무슨 메모리를 잡아 먹고 ㅠㅠ 아직 Internet Explorer 8은 Beta2라서 완성된 모습은 아닙니다.

다만 Internet Explorer 8에 대해서 빨리 접하고 싶은 분께서만 깔아 써보시길 권장합니다. 도전정신이 없다면 정식버전이 나왔을때 까시기 바랍니다.

Buy me a coffeeBuy me a coffee

블로터닷넷에서 "파이어폭스3.1, 2008년 연말께 출시"가 된다는 소식을 들었습니다.
Firefox 3 Beta 버전이 나온지 얼마되지도 않았는데, 벌서 Firefox 3 RC1까지 나온 상황이다.
Mozilla Firefox Version 3.0

컴퓨터에 설치한 Mozilla Firefox version 3.0 RC1 정보


그런데 기사에서 벌써 Firefox 3.1 을 연말에 출시한다는 것에 깜짝놀랐습니다. 지금 현재는 Firefox 2.0.0.14버전이 정식버전입니다만 프로그램 생산속도가 엄청나게 빨라지고 있다는 것을 알 수 있습니다.
아래 글은 "파이어폭스3.1, 2008년 연말께 출시"에 나온 글입니다.
파이어폭스3.1 버전에 대해 언급한 대목도 눈에 띈다. 슈뢰퍼 부사장은 "파이어폭스3.0에서 3.1로의 업그레이드는 파이어폭스2.0 버전 때의 업그레이드 주기보다 빨리 이뤄질 것으로 기대한다"며 "3.1 출시 예정일은 2008년 말께로 예상한다"고 밝혔다.
거기에 Firefox 4의 출시에 대해서도 말이 나왔으니, Firefox의 발전은 어디가지 갈련지가 궁금합니다.

다음 버전인 파이어폭스4에 대해서도 짤막하게 소개돼 있다. "파이어폭스4는 현재 개발중인 새로운 플랫폼 '모질라2' 기반으로 제작되며, 아직 출시일을 언급하긴 이르지만 현재로선 2009년 하반기께를 목표로 하고 있다"고 슈뢰퍼 부사장은 말했다.
Firefox 3 Beta 2부터 Beta 5, 이제는 RC1가지 써보는데 점차 발견되는 버그가 줄어듬을 알수 있습니다.
거기에 Fedora Core 9와 Ubuntu 8.04에서 포함된 기본 웹브라우저가 Firefox 3.0 Beta 5가 나오는 것을 보았을때 Firefox3은 지금이라도 나와도 문제가 없을만큼 상당히 완성도가 있는 웹브라우저로 생각됩니다.
(예전, 홈페이지 로딩 속도는 빨랐으나 JAVA Script가 해석이 안되었던 Firefox 3 Beta 3보다는 정말 좋아졌음. - 참조 포스트 : Mozilla FireFox 3 Beta 3을 깔아 써보고나서 버그 리포팅)

Firefox의 이러한 행보에 대해, 그동안 발전이 더디었던 MS사에서는 Internet Explorer 7에 이어서, Internet Explorer 8 Beta 1을 출시를 하였습니다.
Internet Explorer 8 Beta 1을 설치해보지는 않아서 어떤 기능이 있는지는 모르겠으나, IE6,IE7보다 기능들이 추가되고 점차 좋아지고 있다는 것을 느끼기 됩니다.

예전에 MS사가 Internet Browser를 거의 장악한 뒤로는 IE6는 계속 기술이 향상되지 않았고 정체되고 이썼습니다.
IE에 실망한 많은 사람들이 Mozilla재단의 Firefox의 기술향상에 열광을 하여 점유율 향상으로 이루어져서 MS사가 자극을 받은 것 같습니다.
그래서 IE7이 나오고 이제는 IE8 Beta2까지 나왔더군요. IE6에서 IE7까지 업그레이드를 하는데 오랜 시간들이 걸렸었다만, IE7에서 IE8까지 개발하는 시간은 엄청 단축되었다는 것을 느끼고 있습니다.
Firefox가 없었다면 웹의 발전은 더디게 진화 아니 정체가 되었을 것인데, Firefox때문에 웹의 발전이 점차 빨라진다는 것을 느기고 있습니다.

그동안 ActiveX, 비표준태그 등으로인해 국내 웹페이지들은 IE에서만 맞춰서 운용되었습니다만, IE8에서는 어떤 기능으로 ActiveX 기술대신의 대안을 내놓을지가 궁금합니다.
아크몬드님의 말마따나
우리 나라에서 윈도우 비스타와 IE7이 문제시 되었던 기억이 납니다. '호환성'과 관련한 문제에 윈도우 비스타가 휩싸이게 되었었지요. 각종 은행 사이트나 포털이 해왔던 'IE 편애'가 문제시 되었던 아픈 기억이 있습니다. 지금에 와서는 비스타에서 인터넷 뱅킹이 큰 문제 없이 사용 가능합니다. 하지만 각종 편법을 써서 인터넷 뱅킹 및 포털의 서비스를 돌리고 있는 환경에서, 또다시 더욱 웹 표준을 향상시킬 IE8과의 문제가 발생하지 않는다는 건 거의 불가능에 가깝다는 생각이 듭니다.
대한민국의 웹페이지들이 웹표준을 지키면서 ActiveX를 멀리하여, XP SP2나 Vista에서 일어났던 문제들이 없어졌으면 하는 바랍이 있습니다.


Internet Explorer 8 Beta 1에 대한 내용은 아크몬드님의 글을 참조하였습니다.

Firefox와 Internet Explorer의 경쟁이 어떻게 웹브라우저를 발전시킬지에 대해서 많은 생각을 해봅니다.

제가 초등학교 3학년때, 아부지 직장에 가서 Netscape의 N의 별똥별이 떨어지는 모습을 보며 인터넷에 대한 환상을 지금도 관심있게 보고 있군요.

Buy me a coffeeBuy me a coffee

+ Recent posts