상세 컨텐츠

본문 제목

eBay, 멀웨어를 배포할 수 있는 웹사이트 내 결점 고치지 않겠다고 선언

국내외 보안동향

by 알약(Alyac) 2016. 2. 4. 16:55

본문


eBay, 멀웨어를 배포할 수 있는 웹사이트 내 결점 고치지 않겠다고 선언
eBay refuses to patch website flaw that can serve up malware


eBay가 공격자가 원격으로 유저의 브라우저에서 임의의 코드를 실행할 수 있는 취약점을 수정하지 않겠다고 밝혔습니다.


Check Point는 eBay의 코드 승인을 우회하고 원격으로 악성코드를 실행시킬 수 있는 취약점을 공개하였습니다. 공격자가 이 취약점을 이용하면 사용자 PC의 데이터를 훔칠 수 있으며, 암호화 되지 않은 사이트에 피싱, 악성코드 자동 다운로드 등을 위한 코드를 주입하는 것이 가능하게 됩니다.


플랫폼에서 스크립트와 아이프레임 로딩이 막혀있기 때문에, 공격자는 악성 컨텐츠를 삽입하기 위하여 비표준 프로그래밍 코드를 사용해야하며, 연구원들은 서로 다른 문자 6자를 사용하여 이 스크립트 방지 장치들 중 일부를 우회하는데 성공했다고 밝혔습니다.


이에 해당 취약점을 지난 12월 15일에 eBay에 제보했지만, 한달 후 eBay는 해당 취약점을 패치할 의향이 없다는 답변을 내놓았습니다 .


참고 :

http://www.zdnet.com/article/ebay-refuses-to-patch-website-flaw-that-allows-hackers-to-serve-up-malware/
http://blog.checkpoint.com/2016/02/02/ebay-platform-exposed-to-severe-vulnerability/

관련글 더보기

댓글 영역