현지 시각으로 지난 1월 31일부터 2월 3일까지 블랙햇 DC 컨퍼런스가 열리고 있는데, 여기에서 Core Security 사의 Jorge Luis Alvarez Medina 씨가 인터넷 익스플로러 정보 누출 제로데이 취약점(CVE-2010-0255, KB980088)을 공개했습니다.

이 취약점은 보안 영역(Security Zone)을 우회할 수 있는 버그를 이용한 것으로 IE가 보호 모드에서 동작하지 않는 경우 공격자는 이미 알고 있는 파일 경로를 입력해서 로컬에 위치한 임의의 파일을 빼돌릴 수 있습니다. 윈도우 비스타나 윈도우 7의 경우 보호 모드에서 동작하면서 로컬 자원에 대한 접근을 차단하기 때문에 이번 취약점과 관련이 없지만, XP 이하 운영체제에서는 IE 모든 버전이 공격에 노출될 수 있습니다.

인터넷 영역과 인트라넷 영역의 보안 수준을 "높음"으로 설정해두면 스크립트 실행을 제한할 수 있지만, 상당수의 사이트가 정상 동작하지 않을 수 있으니 패치가 나오기 전까지 신뢰할 수 없는 주소를 클릭하지 마시고 가능하다면 다른 브라우저를 사용하시기 바랍니다.