모질라에서 발표한 보안 권고는 “버퍼오버플로우는 WebGL 컨텐츠에 사용되는 AN-GLE 그래픽 라이브러리가 있는 Direct 3D 9를 사용하여 요소를 그리거나 검증할때 발생한다. 공격 가능한 잠재적인 크래시를 검사할때 라이브러리에서 잘못된 값이 전달되어 발생하는 것이다”라고 언급하고 있다.
높은 등급 취약점인 CVE-2017-7846과 CVE-2017-7847도 발견되었는데, CVE-2017-7846은 썬더버드 RSS 리더에 영향을 준다. 보안 권고문은 이에 대해 “RSS 피드가 웹사이트에 보여질 때 - 예를 들면 View -> Feed Article -> 웹사이트 또는 View -> Feed Article -> Default Format과 같은 형식 - 파싱된 RSS 피드에 있는 자바스크립트 실행이 가능하다.”고 말한다.
CVE-2017-7847은 RSS 리더에도 영향을 미친다. RSS 피드의 세밀하게 만들어진 CSS가 유출되어 사용자 이름이 포함된 로컬 패스 문자열이 드러날 수 있다.
보통 등급의 CVE-2017-7848 취약점도 낮은 등급 취약점인 CVE-2017-7849가 메일에 영향을 미치는 것처럼 RSS 피드에 영향을 미친다. 권고문에 따르면 “발신자의 이메일 주소를 스푸핑하고 임의의 수신자에게 보낸 사람 주소를 표시할 수 있다. 만약 디스플레이 문자열에 null 문자가 있으면, 실제 발신자의 주소는 표시되지 않는다”고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#취약점
저작권자 © 데일리시큐 무단전재 및 재배포 금지