구글 크롬, ‘융단폭격 버그’ 패치

Gregg Keizer | Computerworld 2008.10.22

구글이 지난 주 출시 때부터 취약한 것으로 알려진 크롬의 융단폭격(carpet bomb) 버그를 패치 해 개발자용으로 배포했다. 하지만 이에 대해 처음 이 버그를 보고했던 분석가는 완벽한 패치가 아니라고 비판했다.

융단폭격 버그란 해커가 두 가지 이상의 취약점을 조합하여 브라우저를 공격할 수 있는 버그인데, 이스라엘 보안 연구원 아비브 라프(Aviv Raff)는 지난 달, 자바에 관련된 두 가지 취약점을 조합하여 크롬을 쉽게 공격할 수 있다는 것을 증명했다.

이 취약점을 이용하면, 실행파일인 악성코드를 자동 다운로드 해서 설치할 수 있다는 주장이다. 더불어, 크롬이 다운로드된 파일을 브라우저 프레임 하단에 버튼으로 나타나게 하기 때문에, 이 취약점을 더욱 악화시킨다고 전했다.

이에 따라 구글은 지난 주 .exe, .dll, .bat 등 실행파일 다운로드를 변경해 개발자용 크롬 0.3.154.3을 배포했다. 크롬 프로그램 관리자인 마크 라슨(Mark Larson) 이런 파일들은 현재 'unconfirmed_*.download’ 파일로 다운된다라며, “크롬에서 사용자들은 다운로드를 실행할 것인지 아닌지 선택할 수 있는데, ‘저장(Save)’를 클릭해야지만 실제 파일명으로 전환된다. 확인되지 않은 다운로드는 크롬을 종료할 때 삭제된다라고 밝혔다.

개발자용 0.3.154.3을 실험해본 라프는 이번 패치가 단기적으로는 충분하지만, 그 이상은 아니라고 평가했다. 라프는 이번 패치는 충분하지 않다. 다만, 자동 다운로드 문제를 악용한 다른 조그만 이슈가 나오기 전까지는 유용할 것이다라며, “최고의 해결책은 사용자가 승인하기 전까지는 다운로드를 실행하지 않도록 하거나, IE Temporary Internet Files 폴더나 파이어폭스의 무작위 프로파일 디렉토리 처럼, 무작위 디렉토리에 다운로드 하도록 하는 것이다라고 말했다.

그러나 라프는 긍정적인 면에 대해서도 언급했는데, 크롬이 unconfirmed_*.download라고 전체 파일명을 보여주기 때문에, 사용자가 이 파일이 실행파일인지 혹은 잠재적으로 위험한 파일인지 가려낼 수 있다고 설명했다.

하지만 크롬은 여전히 문제점을 안고 있다. 라프는 크롬은 다운로드된 파일을 사용자가 크롬을 종료했을 때만 삭제하는데, 만일 브라우저 충돌이 일어난 경우에는 악성 파일이 여전히 남아있을 것이라고 지적했다.

구글에게 있어 최선의 해결책은 사용자의 허락 없이 크롬을 통해 다운로드되는 파일을 없애는 것이다. 라프는 사용자의 관여 없이, 파일이 고정 다운로드 디렉토리로 다운로드 되는 것은 좋지 않다라며, “만일 확장자가 실행파일이 아니라고 하더라도, 이런 파일을 실행할 수 있는 방법은 매우 많기 때문이라고 전했다.

한편, 패치된 크롬은 현재 개발자용으로 배포되고 , 업데이트 매커니즘을 이용해 전체 사용자에게는 알려지지 않았다. 하지만 일반 사용자들은 크롬 플러그인(Chrome Plugins) 을 통해 크롬을 재설치 할 수 있다.


크롬은 여전히 베타 서비스 중이며, 브라우저 시장에서 1%미만을 차지하고 있다.
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.