보안

모질라, Pwn2Own서 발견된 취약점 제일 먼저 패치

Gregg Keizer | Computerworld 2010.04.05

모질라는 지난 1일 Pwn2Own 콘테스트에서 독일 연구원이 파이어폭스 해킹에 성공해서 1만 달러를 받을 때 이용한 주요 취약점을 패치했다.

 

이번 패치는 2009년과 마찬가지로 Pwn2Own 콘테스트에서 발견된 버그를 모질라가 제일 처음으로 패치한 것으로, 발견 된지 8일만이다. 이번 버그는 영국 기반의 MWR 인포시큐리티(InfoSecurity)의 연구원 닐스(Nils)가 파이어폭스 해킹에 이용했다. 지난 해에는 10일 걸렸다.

 

이번에 닐스가 이용한 것은 메모리 변조 취약점으로, 모질라는 파이어폭스 3.6.3에 이 버그 패치를 업데이트하면서 보안 권고문을 통해서 이 버그의 중요도를 “매우 중요”한 것으로 공지했다.

 

닐스는 64비트 윈도우 7에서 구동되는 파이어폭스 3.6.2의 취약점을 이용했으며, 운영체제의 DEP(data execution prevention)와 ASLR(address space layout randomization) 보호 기능들도 우회했다. 이번 콘테스트에서 닐스는 스폰 업체인 3Com과 티핑포인트(TippingPoint)로부터 1만 달러를 받았다.

 

애플의 사파리나 마이크로소프트의 IE8 해킹에 성공한 연구원들도 각각 1만 달러씩을 받았다.

 

모질라에 따르면, 닐스의 익스플로잇(exploit)은 파이어폭스 최신 버전인 3.6에만 해당되지만, 만일의 경우를 위하여 파이어폭스 3.5도 패치할 계획이다.

 

파이어폭스 3.5는 바로 지난 주 월요일 버전 3.5.9로 업데이트된 바 있다.

 

모질라는 해당 취약점 정보에 대한 추가적인 접속을 막기 위해 버그질라(Bugzilla)를 작성자만 볼 수 있도록 설정해놨다.

 

지금까지 애플과 마이크로소프트는 Pwn2Own에서 밝혀진 취약점 패치 계획을 발표하지 않았다. 마이크로소프트는 네덜란드 연구원인 피터 브룩던힐이 IE8 해킹시 이용했던 취약점에 대한 상세 사항을 받았으나, 아직 패치는 준비되지 않았다고 전했다. 지난 주 초, MSRC(Microsoft Security Response Center) 수석 관리자인 제리 브라이언트는 “여전히 해당 이슈에 대해서 조사 중이며, 정확한 업데이트 일정은 나오지 않았다”라고 말했다.

 

한편, 티핑포인트는 콘테스트에서 이용된 취약점의 상세사항을 공개하지 않지만, 대신에 해당 코드에 대한 권리를 갖고 있다. 적절한 업체에게 정보를 넘겨줄 수 있는 것이다. 업체들은 티핑포인트가 공개한 내용에 대해서만 알 수 있다.

 

지난 주 금요일 오후까지, 티핑포인트는 모질라가 패치를 발표한 파이어폭스 취약점에 대한 상세한 내용을 밝히지 않았다.

 

새 버전 파이어폭스는 윈도우, 맥 OS X, 리눅스 버전을 사이트를 통해서 다운받을 수 있으며, 현재 파이어폭스 사용자들은 자동 업데이트가 48시간 내에 제공될 예정이다. gkeizer@ix.netcom.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.