2010.10.21

보안 전문가, “자바 보안 패치, MS 업데이트 활용하자”

Gregg Keizer | Computerworld

보안 전문가들이 자바 보안 업그레이드와 관련해 오라클이 마이크로소프트의 업데이트 서비스를 활용해서 사용자들이 자바의 패치된 버전을 사용할 수 있는 기회를 늘려야 한다고 지적했다.

 

퀄리스(Qualys)의 CTO인 울프강 칸덱은 “서로 다른 업데이트 엔진을 없애고 마이크로소프트의 윈도우 업데이트나 WSUS를 통해서 자바 업데이트를 배포하는 것이 해결책이 될 수 있다”라고 말했다.

 

WSUS(Windows Server Update Services)은 비즈니스급의 업데이트 매커니즘으로 대부분의 회사가 윈도우나 다른 마이크로소프트 소프트웨어 패치에 이 방식을 채택하고 있다.

 

퀄리의 브라우저체크(BrowserCheck) 서비스로 수집한 데이터에 따르면, 윈도우 PC 10대 중에 8대는 하나 혹은 그 이상의 자바를 구동하고 있었다. 칸덱에 따르면, 이 중에서 40%는 최소한 하나 이상의 취약점을 보유하고 있는 오래된 버전을 보유하고 있다. 많이 악용되는 것으로 알려진 어도비 리더나 플래시가 오히려 더 최신버전인 것으로 나타난 것.

 

칸덱은 “맬웨어 운영자들은 항상 기기를 장악할 수 있는 새로운 방법을 모색하고 있다”라면서, “하지만 운영체제는 점점 공격이 어려워지기 때문에, 이제는 서드파티 애플리케이션의 취약점에 주목하고 있다”라고 경고했다.

 

칸덱이 자바의 문제점을 지목한 것은 우연이 아니다. 이번 주 초, 마이크로소프트의 안티맬웨어 팀은 패치된지 오래 된 자바 버그를 악용한 전례 없는 공격이 목격되고 있다고 밝힌 바 있다. 2010년 1월~9월 사이에 공격을 받은 600만 대 PC 중 350만 대가 2년 전에 패치된 JRE(Java Runtime Environment) 취약점을 악용한 것으로 드러났다.

 

칸덱은 “이런 익스플로잇(exploits)이 처음에는 윈도우 오피스에 집중되어 있었고, 그 다음은 어도비 리더와 플래시였다. 이제는 자바를 노린 공격이 늘어나고 있음을 보고 있다”라고 말했다. 오라클의 소프트웨어는 해커들의 요구사항에 잘 맞는다. 널리 설치되어 있고, 여러 개의 잘 알려진 버그가 포함되어 있으며, 회사 내 PC 패치를 담당하는 IT 부서 직원들이 이를 무시하는 경향이 있다는 점이다.

 

칸덱은 자바 업데이트를 마이크로소프트가 배포할 수 있다는 생각은 모험이라는 것을 잘 알고 있지만, 그럴 만한 가치가 있다고 생각하고 있다. “이득이 너무 크기 때문에, 만일 협력을 할 수만 있다면 좀 더 강력한 윈도우 클라이언트가 될 수 있을 것이다”라고 말했다.

 

자바는 자체 업데이트 서비스를 가지고 있지만, 사용자에게 알리는 속도가 늦고, PC에 여러 버전을 혼재하게 해서 사용자들이 최신 버전으로 패치를 하더라도 위험할 수 있다는 비판을 받아왔다.

 

이전에도 칸덱은 애플이 맥 OS X 사용자들에게 자체 업데이트 프로세스를 통해서 자바 보안 패치를 배포해야 한다고 제안한 바 있다. 그러나 여기서 문제는 애플이 전통적으로 자바의 제조업체이자 오라클에 인수된 썬(Sun)이 문제점을 수정한지 몇 달이 지난 다음에 자체적으로 맥 사용자에게 배포했다는 점이었다.

 

한편, 퀄리스의 브라우저체크는 윈도우와 맥 기기를 검토하여 취약한 브라우저나 플래시, 자바,애플 퀵타임 혹은 리더와 같은 플러그인을 찾아낸다. 시큐니아(Secunia) 역시 퍼스널 소프트웨어 인스펙터(Personal Software Inspector)라는 비슷한 서비스를 제공하고 있다. gkeizer@computerworld.com



2010.10.21

보안 전문가, “자바 보안 패치, MS 업데이트 활용하자”

Gregg Keizer | Computerworld

보안 전문가들이 자바 보안 업그레이드와 관련해 오라클이 마이크로소프트의 업데이트 서비스를 활용해서 사용자들이 자바의 패치된 버전을 사용할 수 있는 기회를 늘려야 한다고 지적했다.

 

퀄리스(Qualys)의 CTO인 울프강 칸덱은 “서로 다른 업데이트 엔진을 없애고 마이크로소프트의 윈도우 업데이트나 WSUS를 통해서 자바 업데이트를 배포하는 것이 해결책이 될 수 있다”라고 말했다.

 

WSUS(Windows Server Update Services)은 비즈니스급의 업데이트 매커니즘으로 대부분의 회사가 윈도우나 다른 마이크로소프트 소프트웨어 패치에 이 방식을 채택하고 있다.

 

퀄리의 브라우저체크(BrowserCheck) 서비스로 수집한 데이터에 따르면, 윈도우 PC 10대 중에 8대는 하나 혹은 그 이상의 자바를 구동하고 있었다. 칸덱에 따르면, 이 중에서 40%는 최소한 하나 이상의 취약점을 보유하고 있는 오래된 버전을 보유하고 있다. 많이 악용되는 것으로 알려진 어도비 리더나 플래시가 오히려 더 최신버전인 것으로 나타난 것.

 

칸덱은 “맬웨어 운영자들은 항상 기기를 장악할 수 있는 새로운 방법을 모색하고 있다”라면서, “하지만 운영체제는 점점 공격이 어려워지기 때문에, 이제는 서드파티 애플리케이션의 취약점에 주목하고 있다”라고 경고했다.

 

칸덱이 자바의 문제점을 지목한 것은 우연이 아니다. 이번 주 초, 마이크로소프트의 안티맬웨어 팀은 패치된지 오래 된 자바 버그를 악용한 전례 없는 공격이 목격되고 있다고 밝힌 바 있다. 2010년 1월~9월 사이에 공격을 받은 600만 대 PC 중 350만 대가 2년 전에 패치된 JRE(Java Runtime Environment) 취약점을 악용한 것으로 드러났다.

 

칸덱은 “이런 익스플로잇(exploits)이 처음에는 윈도우 오피스에 집중되어 있었고, 그 다음은 어도비 리더와 플래시였다. 이제는 자바를 노린 공격이 늘어나고 있음을 보고 있다”라고 말했다. 오라클의 소프트웨어는 해커들의 요구사항에 잘 맞는다. 널리 설치되어 있고, 여러 개의 잘 알려진 버그가 포함되어 있으며, 회사 내 PC 패치를 담당하는 IT 부서 직원들이 이를 무시하는 경향이 있다는 점이다.

 

칸덱은 자바 업데이트를 마이크로소프트가 배포할 수 있다는 생각은 모험이라는 것을 잘 알고 있지만, 그럴 만한 가치가 있다고 생각하고 있다. “이득이 너무 크기 때문에, 만일 협력을 할 수만 있다면 좀 더 강력한 윈도우 클라이언트가 될 수 있을 것이다”라고 말했다.

 

자바는 자체 업데이트 서비스를 가지고 있지만, 사용자에게 알리는 속도가 늦고, PC에 여러 버전을 혼재하게 해서 사용자들이 최신 버전으로 패치를 하더라도 위험할 수 있다는 비판을 받아왔다.

 

이전에도 칸덱은 애플이 맥 OS X 사용자들에게 자체 업데이트 프로세스를 통해서 자바 보안 패치를 배포해야 한다고 제안한 바 있다. 그러나 여기서 문제는 애플이 전통적으로 자바의 제조업체이자 오라클에 인수된 썬(Sun)이 문제점을 수정한지 몇 달이 지난 다음에 자체적으로 맥 사용자에게 배포했다는 점이었다.

 

한편, 퀄리스의 브라우저체크는 윈도우와 맥 기기를 검토하여 취약한 브라우저나 플래시, 자바,애플 퀵타임 혹은 리더와 같은 플러그인을 찾아낸다. 시큐니아(Secunia) 역시 퍼스널 소프트웨어 인스펙터(Personal Software Inspector)라는 비슷한 서비스를 제공하고 있다. gkeizer@computerworld.com



X