애플리케이션

오라클, 긴급 자바 패치 배포

Gregg Keizer | Computerworld 2010.04.16

오라클은 해커들이 악성 소프트웨어 설치에 악용한 주요 자바 취약점에 대한 패치를 배포했다.

 

자바 SE 6 보안 업데이트 20은 지난 금요일 구글 보안 연구원인 타비스 오만디가 발견한 버그를 패치한 것으로, 당시 오만디는 공격자들이 개발자가 자신의 소프트웨어를 배포하도록 만들어진 기능을 이용해서 인증되지 않은 자바 프로그램을 피해자의 컴퓨터에 설치할 수 있다고 밝혔다. 이 공격에 위험한 운영체제는 윈도우이다.

 

오만디는 이번에 배포한 오라클의 패치가 “취약한 기능을 완전히 없애버렸다. 말하자면 제로(0) 상태로 돌아간 것”이라면서, 질 나쁜 것이라고 평가했다.

 

오라클은 이번 보안 업데이트와 관련한 권고 사항을 통해 “매개변수가 포함되지 않은 JNLP(Java Network Launch Protocol) 파일은 더 이상 자바 SE 6 업데이트 20 릴리즈에서 작동하지 않을 것”이라면서, “이는 개발자들이 반드시 JNLP 파일 안에 코드베이스 매개변수를 열거해 주어야 한다는 뜻이다”라고 전했다.

 

오만디는 이 취약점을 직접 공개하기 전에 오라클 측에 알렸으나, 오라클이 긴급 패치를 거절했다고 전했다. 그는 “오라클은 이 취약점이 정기 패치 일정에서 벗어난 패치를 배포할 정도로 우선순위가 높지 않다고 생각한다고 전했다”라면서, “여기에 동의하지 않는다고 설명했고, 솔루션이 나올 때까지 임시적으로 피해를 방지하기 위해서 공개했다”라고 전하면서, 지난 금요일 취약점 내용을 공개했다.

 

한편, 14일 AVG 테크놀로지의 연구 최고 책임자인 로저 톰슨은 이미 해커들이 오만디의 PoC를 이용해서 맬웨어를 퍼뜨리고 있다고 밝혔다. 미국 웹사이트 songlyrices.com 이 감염됐으며, 이 사이트에 접속한 사용자들을 러시아 서버로 유도한다.

 

지난 수요일에 songlyrics.com 측은 자사 사이트 내에 있는 하나 이상의 광고가 사용자들을 러시아 공격 사이트로 유도한다는 사실을 인정하면서 “광고 서버인 오픈X(OpenX)가 해킹당했다”라고 전했다. 오픈X는 오픈소스 광고 서버이다.

 

톰슨에 따르면, 자바 플러그인이 설치되어 있는 마이크로소프트 IE나 모질라의 파이어폭스 브라우저 이용자들이 이번 공격에 취약할 수 있지만, 구글 크롬의 경우에는 안전할 것이라고 전했다.

 

자바 SE 6 업데이트 20은 오라클 사이트에서 다운받을 수 있다. gkeizer@ix.netcom.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.