인터넷과 소프트웨어에서 뜨거운 경쟁을 펼치는 MS와 구글이 취약성과 버그 문제로 동시에 곤혹을 치르고 있다. 미국 시각으로 9월26일, 구글은 지메일의 제로데이가 노출되었고 MS는 엑셀 2007의 계산 버그로 얼굴을 붉혀야 했다.
먼저, 구글 지메일 제로데이는 이미 도착한 메일은 물론 앞으로 도착할 메일까지 해킹당할 수 있다는 내용이다. cross-site request forgery(CSRF)라는 이름의 이 취약성은 최근 몇 주간 QuickTime, 어도브 PDF, 윈도 미디어 플레이어에서 잇달아 보안 오류를 찾아낸 영국 출신의 보안 전문가인 펫코 펫코브(Petko Petkov)에 의해 처음 알려졌다.
펫코브에 따르면, 지메일 CSRF 공격은 피해자가 악성 웹 사이트에 방문하는 것으로 시작된다. 악성 사이트에서 지메일 계정을 입력하는 순간 이른바 '멀티파트/프롬-데이트 POST'(multipart/form-date POST)가 실행되는데, 이 HTML 명령이 지메일 인터페이스를 업로드하는 과정에서 악성 필터가 유저 필터 리스트에 몰래 올라가는 것이다.
Gnucitizen에 지메일 해킹 사진을 올려놓은 펫코브는 "예를 들어, 공격자가 첨부 파일을 가진 메일만 해킹하는 필터를 작성한다면 이미 도착한 e-메일은 물론 앞으로 수신되는 e-메일도 첨부 파일이 있다면 모두 해커가 원하는 e-메일 주소로 자동 포워딩된다"고 경고했다.
펫코브는 지메일 해킹 사진을 Gnucitizen 사이트에 올려놓았다.
구글 지메일의 취약성이 알려진 같은 날 MS의 자랑인 엑셀도 계산 버그로 고개를 숙여야 했다.
엑셀 2007(그리고 엑셀 서비스 2007)에서만 발생하는 이번 버그는 숫자 65,535와 관련이 있다. 예를 들어, 77.1*850를 하면 65,535가 나와야 정상이지만 100,000이 표시되는 것이다. 이 오류가 처음 보고된 뒤 사실 관계를 확인하는 과정에서 엑셀 팀은 =5.1*12850; =10.2*6425; =20.4*3212.5와 같이 65,535라는 답을 유도하는 다른 곱셈에서도 버그가 있음을 확인했다.
엑셀 개발팀은 블로그에서 "이번 오류는 오피스 2007의 타임 프레임에 있는 엑셀 계산 로직을 변경하는 과정에서 발생했다. 계산 자체가 문제가 아니라 이를 표시하는 방식에서 오류가 생기는 것"이라고 밝혔다.
즉, =850*77.1은 잘못된 답을 내놓지만 만약 그 결과에 2를 곱하면 옳은 답을 얻는다는 것이다, 다시 말해 A1은 “=850*77.1”, 그리고 A2는 “=A1*2”이면 A1은 10000이지만
A2는 131,070이 된다.
현재 MS는 이번 버그의 상당 부분을 해결한 상태여서 조만간 패치가 될 것으로 보인다.
이올린에 북마크하기
이올린에 추천하기
