마이크로소프트의 새로운 브라우저인 인터넷 익스플로러 7(IE7)에서 코드가 공개된 지 일주일도 안 되어 세 번째 결함이 발견되었습니다.
이 결함은 연구원 Per Gravgaard에 의해 지난 주말에 확인되었으며 해커가 합법적인 웹 사이트를 파괴할 수 있게 해줍니다. 해커는 특수 코드를 만들어 자신의 웹 페이지로 합법적인 온라인 사이트를 스푸핑할 수 있습니다.
'문제는 창의 대상 이름이 알려진 경우 웹사이트가 다른 사이트의 창에 콘텐츠를 삽입할 수 있다는 것입니다.'라고 경고합니다. 세쿠니아 자문.
'이것은 신뢰할 수 있는 웹사이트에서 열리는 팝업 창의 내용을 스푸핑하기 위해 악의적인 웹사이트에 의해 악용될 수 있습니다.'
문제는 브라우저가 팝업 페이지를 처리하는 방식에서 발생합니다. 이 결함을 이용하여 해커는 합법적인 팝업 URL을 선택하고 창에 오버레이 새 웹 복사본을 열 때 대상의 개인 정보를 수집하는 데 사용될 수 있습니다.
IE7은 이전 버전의 브라우저와 달리 모든 팝업의 현재 URL을 표시하므로 이러한 종류의 공격을 물리칠 수 있어야 합니다. 그러나 브라우저에서 발견된 두 번째 결함과 함께 사용하면 조합 공격이 IE7 사용자를 속일 수 있습니다.
IE7의 첫 번째 보안 결함은 출시된 지 며칠 만에 발견됐으나 마이크로소프트는 문제가 IE7이 아니라 해당 브라우저를 사용하는 다른 애플리케이션에 있다고 주장하며 이에 대해 이의를 제기했다.
