거의 한 달 전에 소위 "Safari Carpet Bomb"이라 부르는 사파리 브라우저 취약점이 발표된 적이 있습니다. 인식되지 않는 컨텐트 타입을 가진 개체를 사용자의 동의도 구하지 않고 그냥 다운로드 하는 취약점인데, 애플은 이에 대해 "우리는 보안 문제라고 생각하지 않는다"라는 무성의한(?) 대답과 함께 "아무래도 사용자 동의를 구하는게 좋을테니 다운로드를 무작정 하지 않도록 기능 개선(!)을 하겠다"고 말했습니다.

취약점 자체에 대한 자세한 내용은 아래 CVE를 참조하시면 되고, 스크린샷도 같이 나온 좋은 포스트 링크를 바로 밑에 두겠습니다. iframe 소스에 blah/blah로 아무렇게나 컨텐트 타입을 써서 찍으면 파일이 바탕화면에 마구 저장되는 것을 보실 수 있습니다.

http://nchovy.kr/security/cve/CVE-2008-2540
http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

흥미로운 것은 마이크로소프트에서 여기에 대해 "업데이트도 안 하고 개기는 사파리 따위는 위험하니 패치 될 때까지 쓰지 마시오"라는 요지의 보안 권고문을 발표했고, 이 상황에 대해 누구 책임이냐를 놓고 아주 의견이 분분했던 것 같습니다. SANS에서 오늘 포스팅한 글을 보면 윈도우에 깔린 사파리 브라우저는 정말 위험할 수 있습니다.

원문 : http://isc.sans.org/diary.html?storyid=4562

왜냐하면 아시다시피 윈도우 운영체제에서는 프로그램이 현재 디렉터리의 DLL을 우선적으로 로딩하도록 되어있는데, 2006년 12월에 알려진 바로는 인터넷 익스플로러도 별로 예외는 아니라고 합니다. 비스타에서는 안 되는데 XP에 깔린 인터넷 익스플로러 7 (아마 8 역시?)에서는 현재 디렉터리의 DLL이 동작하는 것을 확인했다고 하는군요.

자, 이제 무슨 일이 벌어질지 말 안 해도 아시겠죠? 공격자가 악성 코드로 가득찬 웹사이트를 만들어놓고 사파리 사용자가 접속하기만 기다립니다. 사파리 사용자는 이 사이트에 접속하는 순간 DLL 파일들이 조용히 바탕화면에 다운로드 되겠지요. 이제 사용자가 익스플로러가 필요해서 (아무래도 ActiveX 깔린 사이트 때문이겠죠) 바탕화면에서 인터넷 익스플로러 아이콘 (바로가기)을 실행시킵니다. 악성 코드가 로드됩니다~~ 아아아악?!!

흠.. 상황이 안 좋군요. 애플이나 MS나 둘 다 잘한 것 없으니 서로 기능이라고 헛소리는 그만 집어치우시고 빨리 패치해주세요. 애플은 아무거나 다운로드 되지 않도록 해주시고, MS는 쓸데없이 현재 디렉터리에서 DLL 로딩하지 않도록 해주셔야겠죠?

임시 해결책이야 뭐 간단합니다. 사파리에서 기본 다운로드 위치를 바탕화면이 아닌 디렉터리로 바꿔주면 됩니다. 물론 우리 나라에선 별다른 이슈가 안 되겠죠. 윈도우용 사파리 사용자 잘 해봐야 1%나 될까요?