2018.01.08

크롬, 엣지, 파이어폭스가 내놓은 멜트다운·스펙터 취약점 대책

Gregg Keizer | Computerworld
매우 가능성이 크지만 아직까지는 악용 사례가 발견되지는 않은, 전 세계 대부분의 마이크로프로세서에 대한 취약점 보도는 공포로 가득찬 반응을 불러왔다. 대다수 브라우저 개발업체도 웹 기반 공격을 막기 위해 각기 브라우저 업데이트나 계획을 발표했지만, 상대적으로 큰 주목을 받지는 못했다.

인텔, AMD, ARM이 설계한 프로세서의 기초적 결함을 발견한 것은 구글의 보안 부서 프로젝트 제로의 연구원이었다. 구글의 보안 패치는 1월 9일 발표될 예정이었다. 구글뿐 아니라 운영체제 개발업체에서부터 칩 제조업체까지 모두 가능한 최선을 다해 멜트다운과 스펙터의 영향으로부터 CPU 자체의 결함을 대체할 수 있도록 보안 패치를 발표할 계획이다.

지금까지는 칩 제조업체나 운영체제 공급업체가 업데이트를 주도했지만, 브라우저 개발업체도 애플리케이션 수정과 업데이트에 들어갔다. 스펙터 공격자가 운영하거나 손상된 사이트의 자바스크립트 공격 코드를 사용하는 사례를 막기 위해서다.

스펙터 공격에 대해 펜실바니아 대학 등 유명 대학의 독립 연구자 연합이 발표한 자료에 따르면, “스펙터 공격은 자바스크립트 코드를 통해 브라우저 샌드박스를 공격할 수 있다”. 연구자들은 또한, 침입자가 방금 입력한 사이트의 자격 증명 수집을 위해 크롬 프로세스의 주소 공간을 읽을 때 자바스크립트를 사용하는 방법을 나타내는 개념 증명을 발표하기도 했다.

유명 브라우저 업체 일부는 이미 애플리케이션과 데이터 보호를 목적으로 한 업데이트를 개발해 배포하기에 나섰다. 지금까지는 애플 사파리의 업데이트가 아직 발표되지 않은 상태다.

구글 크롬
구글은 윈도우, 맥OS, 리눅스용 업데이트인 버전 63을 한 달 전에 발표했고, 이 버전에는 사이트 격리라는 새로운 기능이 포함돼있다. 기본 설정은 비활성화되어 있지만 구글은 이 설정을 켤 것을 권고해 스펙터 공격에 대비할 것을 권고하고 있다.

구글 크롬 버전 63의 사이트 격리 기능



사이트 격리는 크롬에 있었던 기존 기능보다 한 단계 더 올라서 크롬 샌드박스 안에서 다른 탭의 콘텐츠에 접근하는 원격 코드를 막는 역할을 한다. 즉, 공격자가 스펙터 결함을 악용해 비활성 탭의 주소 지정 가능한 메모리 안에 있는 인 메모리 데이터를 훔치는 것을 막을 수 있다는 의미다.

사이트 격리는 크롬 플래그 기능으로 공개됐다. 기업 IT 관리자는 윈도우 그룹 정책을 통해 옵션을 활성화하고 관리할 수 있다. 자세한 내용은 크롬 지원 페이지에서 확인할 수 있다.

또, 구글은 1월 넷째 주에 크롬 버전 64에서 더 많은 안티 스파이더 방어 기능을 추가할 예정이다. 또한, 크롬 자바스크립트 엔진 V8의 수정 사항을 강조하고, 다른 단계도 크롬 업그레이드 이후 수정될 것이라고 약속했다.

구글은 금요일부터 마이크로소프트, 모질라 등 다른 브라우저 개발업체와 동일한 기술을 크롬에 적용했다. “다른 조치가 적용될 때까지의 일시적 수단”이라며, 1월 5일에는 SharedArrayBuffer 자바스크립트 개체를 중지하고, performance.now API 행동을 변경하기도 했다.

인터넷 익스플로러와 엣지
마이크로소프트는 인터넷 익스플로러와 윈도우 10용 엣지의 업데이트와 윈도우 7 및 윈도우 8.1 용 인터넷 익스플로러 패치를 발표했다. 이들 업데이트 는 윈도우 7, 8.1의 일반적인 월간 보안 패치 롤업 또는 동일한 버전의 보안 전용 품질 업데이트의 형태로 다운로드 할 수 있다.

마이크로 소프트는 다른 브라우저 제조사와 동일한 조치를 취했다. 엣지 개발팀의 수석 리드 프로그램 관리자인 존 헤이즌은 "우선은 마이크로소프트 엣지 (윈도우 10 가을 크리에이터 업데이트에서 처음 소개된 SharedArrayBuffer 지원을 중지하고, performance.now를 조절했다”고 밝혔다. 또, “이 두 가지 변경으로 브라우저 프로세스에서 CPU 캐시의 내용을 추론하는 과정의 난도를 대폭 높였다”고 덧붙였다.

모질라 파이어폭스
모질라 역시 다른 업체와 동일한 두 가지 완화 조치로 지난 목요일 브라우저 버전을 57.0.4로 업데이트했다. 모질라 소프트웨어 엔지니어 루크 와그너는 블로그 포스트는 “새로운 공격은 정확한 시간 간격을 부분적, 단기적으로 정확한 시간 간격을 측정하는 것이라서 파이어폭스에서 여러 가지 시간 소스의 정밀도를 수정한다. Performance.now 같은 고비용 소스와 고해상도 타이머를 구축할 수 있는 sharedarraybuffer가 모두 포함된다.

모질라는 파이어폭스에서 후자를 비활성화하고 performance.now API를 20밀리초로 세분화해 가장 작은 단위로 줄일 수 있다. 마이크로소프트도 인터넷 익스플로러와 엣지에서 API 레졸루션을 5밀리초에서 20밀리초로 완화한 것도 같은 조치다.

애플 사파리
애플은 2017년 12월에 맥OS와 iOS 업데이트가 멜트다운 방어 수단을 도입했다고 밝혔다. 그러나 스펙터 결함은 1월 6일 토요일 사파리 업데이트 내역에 나타나지 않았다. 애플은 지난 금요일 공개된 지원 문서에서 “맥OS와 iOS에서 사파리 업데이트를 발표할 예정”이라고 밝혔다.

애플의 웹 브라우저 계획은 자세히 알려지지 않았지만, SharedArrayBuffer 비활성화와 performance.now API 레졸루션 완화가 포함될 것이 거의 확실시된다. editor@itworld.co.kr  

2018.01.08

크롬, 엣지, 파이어폭스가 내놓은 멜트다운·스펙터 취약점 대책

Gregg Keizer | Computerworld
매우 가능성이 크지만 아직까지는 악용 사례가 발견되지는 않은, 전 세계 대부분의 마이크로프로세서에 대한 취약점 보도는 공포로 가득찬 반응을 불러왔다. 대다수 브라우저 개발업체도 웹 기반 공격을 막기 위해 각기 브라우저 업데이트나 계획을 발표했지만, 상대적으로 큰 주목을 받지는 못했다.

인텔, AMD, ARM이 설계한 프로세서의 기초적 결함을 발견한 것은 구글의 보안 부서 프로젝트 제로의 연구원이었다. 구글의 보안 패치는 1월 9일 발표될 예정이었다. 구글뿐 아니라 운영체제 개발업체에서부터 칩 제조업체까지 모두 가능한 최선을 다해 멜트다운과 스펙터의 영향으로부터 CPU 자체의 결함을 대체할 수 있도록 보안 패치를 발표할 계획이다.

지금까지는 칩 제조업체나 운영체제 공급업체가 업데이트를 주도했지만, 브라우저 개발업체도 애플리케이션 수정과 업데이트에 들어갔다. 스펙터 공격자가 운영하거나 손상된 사이트의 자바스크립트 공격 코드를 사용하는 사례를 막기 위해서다.

스펙터 공격에 대해 펜실바니아 대학 등 유명 대학의 독립 연구자 연합이 발표한 자료에 따르면, “스펙터 공격은 자바스크립트 코드를 통해 브라우저 샌드박스를 공격할 수 있다”. 연구자들은 또한, 침입자가 방금 입력한 사이트의 자격 증명 수집을 위해 크롬 프로세스의 주소 공간을 읽을 때 자바스크립트를 사용하는 방법을 나타내는 개념 증명을 발표하기도 했다.

유명 브라우저 업체 일부는 이미 애플리케이션과 데이터 보호를 목적으로 한 업데이트를 개발해 배포하기에 나섰다. 지금까지는 애플 사파리의 업데이트가 아직 발표되지 않은 상태다.

구글 크롬
구글은 윈도우, 맥OS, 리눅스용 업데이트인 버전 63을 한 달 전에 발표했고, 이 버전에는 사이트 격리라는 새로운 기능이 포함돼있다. 기본 설정은 비활성화되어 있지만 구글은 이 설정을 켤 것을 권고해 스펙터 공격에 대비할 것을 권고하고 있다.

구글 크롬 버전 63의 사이트 격리 기능



사이트 격리는 크롬에 있었던 기존 기능보다 한 단계 더 올라서 크롬 샌드박스 안에서 다른 탭의 콘텐츠에 접근하는 원격 코드를 막는 역할을 한다. 즉, 공격자가 스펙터 결함을 악용해 비활성 탭의 주소 지정 가능한 메모리 안에 있는 인 메모리 데이터를 훔치는 것을 막을 수 있다는 의미다.

사이트 격리는 크롬 플래그 기능으로 공개됐다. 기업 IT 관리자는 윈도우 그룹 정책을 통해 옵션을 활성화하고 관리할 수 있다. 자세한 내용은 크롬 지원 페이지에서 확인할 수 있다.

또, 구글은 1월 넷째 주에 크롬 버전 64에서 더 많은 안티 스파이더 방어 기능을 추가할 예정이다. 또한, 크롬 자바스크립트 엔진 V8의 수정 사항을 강조하고, 다른 단계도 크롬 업그레이드 이후 수정될 것이라고 약속했다.

구글은 금요일부터 마이크로소프트, 모질라 등 다른 브라우저 개발업체와 동일한 기술을 크롬에 적용했다. “다른 조치가 적용될 때까지의 일시적 수단”이라며, 1월 5일에는 SharedArrayBuffer 자바스크립트 개체를 중지하고, performance.now API 행동을 변경하기도 했다.

인터넷 익스플로러와 엣지
마이크로소프트는 인터넷 익스플로러와 윈도우 10용 엣지의 업데이트와 윈도우 7 및 윈도우 8.1 용 인터넷 익스플로러 패치를 발표했다. 이들 업데이트 는 윈도우 7, 8.1의 일반적인 월간 보안 패치 롤업 또는 동일한 버전의 보안 전용 품질 업데이트의 형태로 다운로드 할 수 있다.

마이크로 소프트는 다른 브라우저 제조사와 동일한 조치를 취했다. 엣지 개발팀의 수석 리드 프로그램 관리자인 존 헤이즌은 "우선은 마이크로소프트 엣지 (윈도우 10 가을 크리에이터 업데이트에서 처음 소개된 SharedArrayBuffer 지원을 중지하고, performance.now를 조절했다”고 밝혔다. 또, “이 두 가지 변경으로 브라우저 프로세스에서 CPU 캐시의 내용을 추론하는 과정의 난도를 대폭 높였다”고 덧붙였다.

모질라 파이어폭스
모질라 역시 다른 업체와 동일한 두 가지 완화 조치로 지난 목요일 브라우저 버전을 57.0.4로 업데이트했다. 모질라 소프트웨어 엔지니어 루크 와그너는 블로그 포스트는 “새로운 공격은 정확한 시간 간격을 부분적, 단기적으로 정확한 시간 간격을 측정하는 것이라서 파이어폭스에서 여러 가지 시간 소스의 정밀도를 수정한다. Performance.now 같은 고비용 소스와 고해상도 타이머를 구축할 수 있는 sharedarraybuffer가 모두 포함된다.

모질라는 파이어폭스에서 후자를 비활성화하고 performance.now API를 20밀리초로 세분화해 가장 작은 단위로 줄일 수 있다. 마이크로소프트도 인터넷 익스플로러와 엣지에서 API 레졸루션을 5밀리초에서 20밀리초로 완화한 것도 같은 조치다.

애플 사파리
애플은 2017년 12월에 맥OS와 iOS 업데이트가 멜트다운 방어 수단을 도입했다고 밝혔다. 그러나 스펙터 결함은 1월 6일 토요일 사파리 업데이트 내역에 나타나지 않았다. 애플은 지난 금요일 공개된 지원 문서에서 “맥OS와 iOS에서 사파리 업데이트를 발표할 예정”이라고 밝혔다.

애플의 웹 브라우저 계획은 자세히 알려지지 않았지만, SharedArrayBuffer 비활성화와 performance.now API 레졸루션 완화가 포함될 것이 거의 확실시된다. editor@itworld.co.kr  

X