구글, XSS 취약성에 대처

구글이 웹 호스팅 서비스로 발견된 크로스 사이트 스크립팅(XSS)의 취약성에 대처했다. 구글 Blogoscoped 블로그에 따르면 이 XSS의 취약성은 대처하지 않을 경우 제3자의 구글 문서 또는 스프레드시트의 수정이나 메일 제목이나 검색 이력의 부정한 열람을 가능케 해버린다. 구글의 동향에 대해 코멘트하는 서드파티 사이트 구글 Blogoscoped를 운영하는 필립 렌슨(Philipp Lenssen)에 의하면 이번 취약성은 14일 밤(미국시간)에 보고된 블로거 커스텀 도메인(Blogger Custom Domains)의 취약성과 유사하다고 한다.렌슨은 “이 시큐리티 홀은 HTML 인젝션에 올바르게 대처할 수 없는 구글 서비스의 업데이트에 기인하고 있다”라고 말했다. 그에 따르면 토니 러스코(Tony Ruscoe)라는 다른 구글 전문가는 먼저 밝혀진 커스텀 도메인의 취약성을 이용해 페이지를 작성해 구글닷컴 도메인에 공개하는 것을 성공했다. 러스코는 코드를 사용해 유저의 구글 쿠키를 도둑질하고 구글 서비스에 액세스할 수 있다는 것을 증명했다. 이 취약성이 존재하면 자바스크립트 코드를 사용해 쿠키의 데이터를 외부에 건네는 일도 가능해져 버린다. 구글은 16일 관계자가 전자메일로 성명을 내 양쪽 모두의 취약성에 대처했다고 밝혔다. 이 관계자는 “구글은 문제에 재빠르게 대응해 이미 해결했다”라며 “데이터가 수정됐다는 보고는 일절 받지 않았다”라고 말했다. 구글은 한층 더 나아가, 취약성이 공인되기 전에 패치를 준비할 수 있도록 버그 헌터 등에게 보안 문제를 직접 회사에 보고해 줄 것을 요청했다. 이「책임 있는 개시」는 웹이나 소프트웨어 판매업체 사이에 지지를 받고 있지만 이를 꺼리는 보안 연구자도 증가하고 있다. @