chrome1

구글은 22일 인터넷 브라우저인 ‘구글 크롬 2.0’을 일반 누리꾼들에게 공개했다. 크롬은 마이크로소프트 윈도 XP와 비스타 운영체제를 지원하며, 이미 크롬 이전 버전을 이용하는 사람은 자동 업데이트된다. 크롬 사이트(www.google.com/chrome)에서 새로 다운로드할 수 있다.

구글은 이번 2.0 버전이 자바스크립트 엔진 등을 개량해 기존 1.0 버전보다 30% 가까이 웹서핑 속도가 빨라졌다고 밝혔다. 구글은 300개 이상의 버그를 수정해 많은 탭을 동시에 열어도 빠른 구동이 가능하게 됐다고 설명했다.

- 파이낸셜 뉴스

구글 크롬 2.0은 그간의 취약점으로 지적되던 cross-site scripting attack에 대한 약점을 보강한 것으로 알려졌다.  특히 이번에 언급된 것이 XSS(Cross site scripting)에 대한 부분 외에도 CSRF였다.

크로스-사이트 요청 위조 (CSRF) 공격은 원클릭 공격, 사이드 재킹 (sidejacking), 세션 라이딩 (session riding) 등으로도 알려져 있고, 약어로는 CSRF 또는 XSRF로 알려져 있다. 이 유형의 공격은 크로스-사이트 스크립팅 (XSS)와 유사한 점이 있지만, XSS의 경우에는 악성 스크립트를 웹사이트에 삽입할 필요가 있는 반면, CSRF 공격의 경우 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하도록 하는 기법을 사용한다. 공격이 사용자를 통해 이루어지기 때문에, 공격자의 IP는 추적 불가능한 특성이 있다는 차이를 들 수 있겠다.

옥션의 1800만 명 개인 정보 유출 사고는 CSRF 공격을 당한 것으로 밝혀졌는데. 중국 해커는 직접 서버를 공격하는 대신, 옥션 운영진을 대상으로 악성 코드를 첨부한 메일을 대량으로 유포했고, 운영자가 메일을 확인한 순간 ID를 손에 넣어, 해커는 이 ID를 이용하여 옥션 서버에 로그인할 수 있었다고 한다.

FireFox는 구글에서 업데이트 되는 보안 정보를 이용하여 업그레이드 하고 있다.