|
Yahoo 메일 서버의 취약점, ImageMagick 라이브러리 침해사고분석팀 2017.06.01 |
|
|
야후 메일에서 요청하지 않은 이미지를 볼 수 있도록 하는 취약점이 존재한다. 해당 야후 메일에서 이미지 처리를 할 수 있는 라이브러리 'ImageMagick'의 취약점을 활용한 공격이다. ImageMagick 라이브러리는 작년에 악성코드를 삽입한 이미지를 업로드하여 야후 메일 웹서버에 악의적인 코드를 실행할 수 있는 취약점이 발견되었던 라이브러리며, 최근 공개된 ImageMagick 보안 취약점을 악용하면 서버에 저장된 임의의 메모리 이미지가 새어 나온다고 하여 해외 커뮤니티에선 해당 취약점을 'Yahoobleed'라고 명하고 있다.
공격자가 악의적으로 제작된(하단 그림) RLE 이미지를 제작하여 피해자의 메일 주소로 보내게 된다. 그 다음 비어있는 RLE 프로토콜 명령 루프를 만들어 서버내 저장되어 있는 임의의 정보 유출을 유발하며, 메모리상 초기화되지 않았거나 이전에 해제 된 메모리 컨텐츠를 기반으로 브라우저에 제공이 된다.
해당 POC가 공개된 후 야후는 이 문제의 해결방안으로 ImageMagick 라이브러리를 모두 삭제했다. 야후 메일은 HTTPS 통신이기 때문에 패킷으로 탐지하기에 제약사항이 많기 때문에 야후 메일을 사용하는 경우 최신 업데이트 버전을 유지하는 것이 중요하다.
출처 : http://thehackernews.com/2017/05/yahoo-imagemagick-hack.html |
