2016.02.15

“구 버전 IE가 위험하다” MS 공식 취약점 패치에서 실제로 제외

Gregg Keizer | Computerworld
마이크로소프트가 구 버전 IE의 보안 업데이트를 보류하면서 2014년의 약속을 충실히 이행했다.

IE7이나 IE8은 물론, 또는 윈도우 비스타 이외의 윈도우에서 구동되는 IE9, 윈도우 서버 2012 이외의 윈도우에서 구동되는 IE10을 사용하는 모든 윈도우 사용자는 지난 9일 마이크로소프트가 IE11과 엣지 브라우저를 사용하는 시스템에 배포한 패치를 받지 못했다.

기존 관행대로라면, 마이크로소프트는 2월 9일 하나의 축적된 업데이트를 IE용으로 발표했다. 이 업데이트는 MS16-009로, 13개의 취약점에 대한 패치를 포함하고 있다.

마이크로소프트는 어떤 수정사항이 구 버전 IE에는 적용되지 않는지 밝히지 않았지만, 이를 확인하는 것은 어렵지 않다.

이번 패치에 포함된 13개의 취약점 중 9개는 모든 버전의 IE에 영향을 미치는 것으로, 아직 지원이 되는 윈도우 비스타 상의 IE9와 윈도우 서버 2012 상의 IE10도 포함되어 있다. 마이크로소프트 브라우저의 서로 다른 버전이 많은 양의 코드를 공유하고 있기 때문에 이들 9가지 취약점은 분명 패치를 받지 못한 IE7과 IE8, IE9, IE10에도 존재한다.

다시 말해 지난 주 발표한 마이크로소프트 패치가 대상으로 하는 취약점 중 2/3은 구 버전 IE에 그대로 있다는 것이다.

패치되지 않은 취약점은 심각한 요소이다. 사이버 범죄자들은 정기적으로 업데이트를 분석해 어떤 것들이 변경되었는지 확인한다. 그리고 이렇게 분석한 정보를 사용해 어떤 취약점이 패치되었는지를 역공학으로 조사한다. 일단 버그가 확인되면, 패치되지 않은 소프트웨어를 해킹하기 위한 기법을 만들어 낸다.

이번 경우에 비스타 상의 IE9에서 발견된 취약점은 해커에게 IE8의 버그가 어떤 것인지를 알 수 있는 단서를 제공한다. 여기서부터 해커들은 패치되지 않은 브라우저를 악용할 수 있는 방법을 만들어 낼 수 있다.

해커들은 이번 패치를 이용할 동기는 충분하다. 아직도 구 버전 IE는 전세계에서 사용되고 있기 때문이다. 넷애플리케이션즈의 데이터에 따르면, 약 1/3의 IE가 보안 업데이트가 중단된 버전이다.

마이크로소프트는 지난 2014년 8월 IE7과 IE8, 그리고 일부 IE9와 IE10의 조기 은퇴를 선언한 바 있다. 2016년 1월 12일까지 모든 고객들에게 운영체제가 지원하는 최신 버전의 IE를 사용할 것을 권장했다. 현재 대부분의 사용자에게 IE11이 최신 버전이다.  editor@itworld.co.kr


2016.02.15

“구 버전 IE가 위험하다” MS 공식 취약점 패치에서 실제로 제외

Gregg Keizer | Computerworld
마이크로소프트가 구 버전 IE의 보안 업데이트를 보류하면서 2014년의 약속을 충실히 이행했다.

IE7이나 IE8은 물론, 또는 윈도우 비스타 이외의 윈도우에서 구동되는 IE9, 윈도우 서버 2012 이외의 윈도우에서 구동되는 IE10을 사용하는 모든 윈도우 사용자는 지난 9일 마이크로소프트가 IE11과 엣지 브라우저를 사용하는 시스템에 배포한 패치를 받지 못했다.

기존 관행대로라면, 마이크로소프트는 2월 9일 하나의 축적된 업데이트를 IE용으로 발표했다. 이 업데이트는 MS16-009로, 13개의 취약점에 대한 패치를 포함하고 있다.

마이크로소프트는 어떤 수정사항이 구 버전 IE에는 적용되지 않는지 밝히지 않았지만, 이를 확인하는 것은 어렵지 않다.

이번 패치에 포함된 13개의 취약점 중 9개는 모든 버전의 IE에 영향을 미치는 것으로, 아직 지원이 되는 윈도우 비스타 상의 IE9와 윈도우 서버 2012 상의 IE10도 포함되어 있다. 마이크로소프트 브라우저의 서로 다른 버전이 많은 양의 코드를 공유하고 있기 때문에 이들 9가지 취약점은 분명 패치를 받지 못한 IE7과 IE8, IE9, IE10에도 존재한다.

다시 말해 지난 주 발표한 마이크로소프트 패치가 대상으로 하는 취약점 중 2/3은 구 버전 IE에 그대로 있다는 것이다.

패치되지 않은 취약점은 심각한 요소이다. 사이버 범죄자들은 정기적으로 업데이트를 분석해 어떤 것들이 변경되었는지 확인한다. 그리고 이렇게 분석한 정보를 사용해 어떤 취약점이 패치되었는지를 역공학으로 조사한다. 일단 버그가 확인되면, 패치되지 않은 소프트웨어를 해킹하기 위한 기법을 만들어 낸다.

이번 경우에 비스타 상의 IE9에서 발견된 취약점은 해커에게 IE8의 버그가 어떤 것인지를 알 수 있는 단서를 제공한다. 여기서부터 해커들은 패치되지 않은 브라우저를 악용할 수 있는 방법을 만들어 낼 수 있다.

해커들은 이번 패치를 이용할 동기는 충분하다. 아직도 구 버전 IE는 전세계에서 사용되고 있기 때문이다. 넷애플리케이션즈의 데이터에 따르면, 약 1/3의 IE가 보안 업데이트가 중단된 버전이다.

마이크로소프트는 지난 2014년 8월 IE7과 IE8, 그리고 일부 IE9와 IE10의 조기 은퇴를 선언한 바 있다. 2016년 1월 12일까지 모든 고객들에게 운영체제가 지원하는 최신 버전의 IE를 사용할 것을 권장했다. 현재 대부분의 사용자에게 IE11이 최신 버전이다.  editor@itworld.co.kr


X