인터넷 익스플로러 '제로데이' 취약점 발견, MS 긴급 보안 업데이트 배포

Computerworld
마이크로소프트가 인터넷 익스플로러(IE)를 언급하는 일은 거의 없다. 만일 그렇다면, 보통 좋은 소식은 아니다.

수요일, 마이크로소프트는 현재 지원 중인 인터넷 익스플로러 9, 10, 11에 대해 치명적인 보안 취약점 업데이트를 위한 긴급 보안 업데이트를 발표했다. 매우 드문 일이다. 이 취약점은 구글 보안 엔지니어 클레망 르시뉴가 보고한 것으로 알려졌다.

마이크로소프트는 공격자가 이미 이 취약점을 악용해 일반적인 제로데이 버그를 만들었다고 발표했다. 1월 파일로 예정돼 있던 다음 차 보안 업데이트에 앞서 보안 픽스를 배포한 것도 이 때문이다.

이번 업데이트는 윈도우 7, 윈도우 8.1, 윈도우 10(윈도우 10 1607버전 이후용 패치), 그리고 윈도우 서버 2008, 2012, 2016, 2019용으로 배포됐다. 윈도우 10 버전 일부(버전 1607, 버전 1703)용 업데이트는 윈도우 10 엔터프라이즈, 윈도우 10 에듀케이션에만 적용된다. 인터넷 익스플로러 보안 픽스는 대다수 관리되지 않는 윈도우 PC를 대상으로 자동으로 제공, 다운로드, 설치된다. 

마이크로소프트는 CVE-2018-8653 지원 문서를 통해 “스크립팅 엔진이 인터넷 익스플로러 메모리 개체를 처리하는 방식에서 원격 코드 실행 취약점이 발견됐다. 이 취약점으로 공격자가 현재 사용자의 컨텍스트에서 임의의 코드를 실행해 메모리 손상을 야기할 수 있다”고 밝혔다.

인터넷 익스플로러는 2016년 초 레거시 상태로 등급이 내려갔다. 브라우저의 취약성을 계속해서 패치하겠다고 약속했지만, 더 이상의 개선이나 강화 조치는 없었다. 마이크로소프트가 인터넷 익스플로러 서비스를 유지하는 이유는 윈도우 7, 8.1, 10 기업 사용자가 인터넷 익스플로러를 통해 사용자 지정 웹 애플리케이션과 구형 인트라넷 사이트를 계속 실행할 수 있기 때문이다. 마이크로소프트가 강조하는 미래 전략은 윈도우 10에서만 실행되는 엣지 브라우저를 중점으로 이루어져 있다.

지난 11월 분석 전문 업체인 넷 애플리케이션은 전 세계 브라우저 사용자 중 9.6%, 모든 윈도우  PC의 11%만이 인터넷 익스플로러를 사용한다고 발표했다. 이 수치 뒤에 숨겨진 더욱 심각한 문제는, 지난 12개월 간 인터넷 익스플로러가 점유율 1/5 이상을 잃었다는 사실이다. editor@itworld.co.kr