2024-03-28 21:15 (목)
야후 메일 이미지 처리 취약점으로 이메일 첨부 파일 및 인증서 유출
상태바
야후 메일 이미지 처리 취약점으로 이메일 첨부 파일 및 인증서 유출
  • hsk 기자
  • 승인 2017.05.23 14:02
이 기사를 공유합니다

Chris Evans, 서버 메모리에 있는 컨텐츠들이 유출되어 이를 ‘Yahoobleed’라고 명명

MA-1.jpg
수년간 야후 메일은 심각한 취약점을 가진 이미지 처리 소프트웨어를 업데이트하는데 실패해 많은 사용자 데이터를 유출시켜왔다. 이는 다른 유명 서비스들도 가입자의 민감한 데이터들을 유출시킬 위험이 있다고 경고한 한 보안 전문가가 밝힌 사실이다.

해당 취약점을 발견해 개인적으로 야후 엔지니어들에게 보고한 Chris Evans는 이 취약점으로 인해 서버 메모리에 있는 컨텐츠들이 유출되었기 때문에 이를 ‘Yahoobleed’라고 명명했다. 이 익스플로잇이 쉬운 취약점들은 PHP, 루비, NodeJS, 파이썬 등 12개의 프로그래밍 언어가 지원하는 이미지 처리 라이브러리인 ImageMagick에 존재한다.

Yahoobleed 중 한 버전은 2015년 1월에 배포된 주요 패치를 설치하는데 실패한 결과물이다. 두번째 Yahoobleed 취약점은 ImageMagick 개발자들이 Evans로부터의 개인 보고서를 받은 직후에 고친 버그의 결과였다. Evans가 발견한 취약점은 악의적으로 조작된 이미지 파일을 야후 메일 주소로 보내 익스플로잇될 수 있다. 18바이트 파일을 열면 많은 양의 야후 서버 메모리가 사용자에게 유출되기 시작한다. Evans는 이 공격 버전을 ‘Yahoobleed1’이라고 불렀고, ‘Yahoobleed2’는 2015년 1월에 수정된 취약점을 익스플로잇해 작동한다.

해당 버그로 인해 공격자는 브라우저 쿠키, 인증 토큰, 야후 메일 사용자의 개인 이미지 첨부 파일 등을 얻을 수 있다. 그러나 28개월간 패치되지 않은 버그가 남아있었음에도 불구하고, Evans는 그의 버그 리포트에 따른 엔지니어들의 빠르고 철저한 응답을 칭찬했다. 또한 그는 ImageMagick를 패치하는 대신 야후는 라이브러리 사용을 중단하기로 결정했다고 언급했다.

지난 18개월간 해당 앱은 심각한 취약점을 숨겨놓은 것에 대해 비판받고 있다. 그는 다른 널리 사용되고 있는 웹 서비스가 여전히 취약할 수 있다고 경고했다. Evans는 GraphicsMagick이라는 이미지 처리 라이브러리가 2016년 3월에 동일한 버그를 패치했다고 밝혔다. 이 패치로 인해 ImageMagick 개발자가 자체 소프트웨어에서 문제를 독립적으로 진단하고 수정하지 못했던 것에 대해 의문을 갖게 된다.

그는 사이트가 그가 발견한 취약점에 취약한지 테스트하고 싶은 개발자들을 위해 취약점 상세 정보가 포함되어 있는 블로그에 18바이트 익스플로잇을 올려두었으며, Yahoobleed2에 대한 자세한 내용 또한 제공하고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★