MS, 도움말 관련 윈도우 XP 버그 확인
마이크로소프트는 지난 주, 윈도우 XP와 윈도우 서버 2003에 사용자가 악성 웹사이트를 방문하거나 공격용 이메일을 열면 PC를 감염시킬 수 있는 패치되지 않은 버그가 있음을 확인했다.
이 취약점을 이용한 공격은 아직 없는 것으로 확인됐다.
이 버그는 사용자가 웹에서 마이크로소프트 도움말 파일에 접속해서 도움말 파일을 다운로드 받을 수 있게 하는 구성요소인 윈도우의 도움말 및 지원센터에 있는 것으로, 공격자들은 사용자들을 악성 웹사이트에 방문하도록 하거나 감염된 이메일 메시지를 열도록 해서 이 취약점을 악용할 수 있다.
윈도우 비스타, 윈도우 7, 윈도우 서버 및 윈도우 서버 2008 R2는 이 취약점을 악용한 공격에서 안전하다.
마이크로소프트는 패치를 배포할 예정이지만, 정확한 일정은 잡히지 않았다. 보안 권고 글에서 마이크로소프트는 “현재 이 취약점에 관한 보안 업데이트를 위해 작업을 진행하고 있다”라고만 밝혔다. 다음 패치 일정은 7월 13일로 예정되어 있지만, 때때로 비 정기적인 패치를 배포할 때도 있다. 지난 3월에는 인터넷 익스플로러의 치명적인 버그가 발견 되어 비정기 패치로 발표한 바 있다.
이 같은 마이크로소프트의 보안 권고 발표는 지난 주 목요일 공격 코드 PoC(proof-of-concept)가 공개된 것에 따른 것이다. 스위스 구글에서 일하는 보안 엔지니어 태비스 오만디는 마이크로소프트에게 이 같은 취약점을 알린 후 5일 후에 PoC를 공개한 것이라고 밝혔다. 하지만 마이크로소프트와 다른 연구원들은 이 같이 빨리 공개한 것에 대해서 의문을 갖고 있다.
MSRC(Microsoft Security Response Center) 디렉터인 마이크 레비는 “이번 이슈는 2010년 6월 5일에 마이크로소프트측에 보고되었으며, 4일 후인 2010년 6월 9일에 공개됐다”라면서, “마이크로소프트에 충분한 시간을 주지 않고 취약점에 대한 상세한 정보를 공개하는 것은 더 많은 공격이 발생하고 고객들을 위협에 빠뜨리는 일이기도 하다”라고 우려를 표명했다.
일부 보안 연구원들도 이 같은 오만디의 취약점 공개 결정이 업체에게 취약점을 수정할 기회를 주기 전까지는 버그를 공개하지 않는 구글의 정책과도 상반된다고 지적했다.
한편, 오만디는 이와 관련된 즉각적인 답변은 하지 않았으나, 트위터를 통해서 “도움말 버그는 개인적인 프로젝트로 진행된 것이다”라고 전했다.
이번에 발견된 취약점은 올해 8번째인 마이크로소프트의 제로데이 버그이다. 지난 해 발견된 총 10개 제로데이 버그는 패치까지 평균 43일이 걸렸으며, 가장 빠른 것은 8일, 가장 오래 걸린 것은 151일이다.
지금의 추세가 이어진다면, 마이크로소프트는 올해 작년의 2배인 18개의 제로데이 버그를 처리해야 할 것으로 예상된다. gkeizer@ix.netcom.com