2017.05.29

윈도우 7을 무너뜨리는 웹 사이트의 네 글자…디렉토리 이름만으로 시스템 정지

Ian Paul | PCWorld
윈도우 7은 이미 출시된 지 8년이 다 되어가는 운영체제이지만, 그렇다고 PC를 완전히 엉망으로 만들 수 있는 어처구니없는 버그가 더 이상 없다는 것은 아니다.

최근 러시아 사이트인 Habrhabr.ru가 특정 웹 사이트를 방문하는 것만으로 PC에 문제를 일으킬 수 있는 윈도우 7 버그 하나를 공개했다. 아스 테크니카(Ars Technica)가 처음 소개한 이 버그는 윈도우 7뿐만 아니라 윈도우 8과 윈도우 비스타에도 영향을 미치지만, 윈도우 10 PC는 안전한 것으로 알려졌다.

문제의 웹 사이트가 말썽을 일으키기 위해 해야 할 일은 그저 “$MFT”란 문자열을 웹 사이트의 이미지를 저장하는 디렉토리 이름으로 사용하는 것이다. 윈도우는 이 문자열을 PC 상의 특정 메타데이터 파일에만 사용한다고 생각한다. 그런 윈도우가 이런 문자열을 웹 사이트의 디렉토리 이름에서 발견하면, PC는 서서히 느려지다가 마침내는 멈춰 버린다. 이 경우 사용자가 할 수 있는 일은 시스템을 재시작하는 것뿐이다. 경우에 따라 이 문제는 죽음의 블루스크린을 유발할 수도 있다.

웹사이트는 사용자의 PC와 마찬가지로 디렉토리를 기반으로 한 파일 구조를 이용하며, 보통 이미지 파일은 ‘greatwebsite.com/images/’ 같은 디렉토리에 저장한다. 아마도 이 때문에 8년이 지나도록 아무도 이 버그를 발견하지 못한 것일 수도 있다. 누가 자신의 웹 사이트 이미지 디렉토리나 하위 디렉토리 이름으로 ‘$MFT’ 같은 문자열을 사용하겠는가? 하지만 이런 어처구니 없는 버그라도 호기심에 가득 찬 보안 연구원들 앞에서는 비밀을 영원히 지키지 못한다.

만약 이 버그의 영향을 받는 PC를 사용한다면, 웹사이트에서 이미지를 로드하지 않는 것 외에는 조치할 수 있는 것이 별로 없다. 하지만 정말로 그렇게 하는 것은 과잉 대응이 아닐 수 없다. 잘 알려진 웹 사이트를 주로 이용한다면, 이 버그를 악용하는 웹 사이트를 만날 가능성은 극히 적기 때문이다.

한편 마이크로소프트는 아직 이 문제에 대해 공식적인 답변을 내놓지는 않았지만, 윈도우 7와 윈도우 8용 패치를 금방 발표할 것으로 보인다. 하지만 윈도우 비스타의 경우는 마이크로소프트의 기술 지원 기간이 종료되었기 때문에 패치기 나오지 않을 가능성이 크다.  editor@itworld.co.kr


2017.05.29

윈도우 7을 무너뜨리는 웹 사이트의 네 글자…디렉토리 이름만으로 시스템 정지

Ian Paul | PCWorld
윈도우 7은 이미 출시된 지 8년이 다 되어가는 운영체제이지만, 그렇다고 PC를 완전히 엉망으로 만들 수 있는 어처구니없는 버그가 더 이상 없다는 것은 아니다.

최근 러시아 사이트인 Habrhabr.ru가 특정 웹 사이트를 방문하는 것만으로 PC에 문제를 일으킬 수 있는 윈도우 7 버그 하나를 공개했다. 아스 테크니카(Ars Technica)가 처음 소개한 이 버그는 윈도우 7뿐만 아니라 윈도우 8과 윈도우 비스타에도 영향을 미치지만, 윈도우 10 PC는 안전한 것으로 알려졌다.

문제의 웹 사이트가 말썽을 일으키기 위해 해야 할 일은 그저 “$MFT”란 문자열을 웹 사이트의 이미지를 저장하는 디렉토리 이름으로 사용하는 것이다. 윈도우는 이 문자열을 PC 상의 특정 메타데이터 파일에만 사용한다고 생각한다. 그런 윈도우가 이런 문자열을 웹 사이트의 디렉토리 이름에서 발견하면, PC는 서서히 느려지다가 마침내는 멈춰 버린다. 이 경우 사용자가 할 수 있는 일은 시스템을 재시작하는 것뿐이다. 경우에 따라 이 문제는 죽음의 블루스크린을 유발할 수도 있다.

웹사이트는 사용자의 PC와 마찬가지로 디렉토리를 기반으로 한 파일 구조를 이용하며, 보통 이미지 파일은 ‘greatwebsite.com/images/’ 같은 디렉토리에 저장한다. 아마도 이 때문에 8년이 지나도록 아무도 이 버그를 발견하지 못한 것일 수도 있다. 누가 자신의 웹 사이트 이미지 디렉토리나 하위 디렉토리 이름으로 ‘$MFT’ 같은 문자열을 사용하겠는가? 하지만 이런 어처구니 없는 버그라도 호기심에 가득 찬 보안 연구원들 앞에서는 비밀을 영원히 지키지 못한다.

만약 이 버그의 영향을 받는 PC를 사용한다면, 웹사이트에서 이미지를 로드하지 않는 것 외에는 조치할 수 있는 것이 별로 없다. 하지만 정말로 그렇게 하는 것은 과잉 대응이 아닐 수 없다. 잘 알려진 웹 사이트를 주로 이용한다면, 이 버그를 악용하는 웹 사이트를 만날 가능성은 극히 적기 때문이다.

한편 마이크로소프트는 아직 이 문제에 대해 공식적인 답변을 내놓지는 않았지만, 윈도우 7와 윈도우 8용 패치를 금방 발표할 것으로 보인다. 하지만 윈도우 비스타의 경우는 마이크로소프트의 기술 지원 기간이 종료되었기 때문에 패치기 나오지 않을 가능성이 크다.  editor@itworld.co.kr


X