비인증 프로그램 구동시킬 수 있는 자바 가상 머신 버그 발견

Robert McMillan | IDG News Service 2010.04.12

구글 연구원이 컴퓨터에 인증되지 않은 프로그램을 구동하는데 이용할 수 있는 자바 가상 머신 버그에 대한 자세한 내용을 공개했다.

 

이 공격은 지난 금요일 구글의 트래비스 오만디에 의해서 밝혀진 것으로, 그는 오라클의 썬(Sun) 팀에 이 취약점에 대해서 사전에 알렸다고 전했다. 오만디는 “오라클 측은 이 버그가 긴급 패치를 배포할 정도로 중요한 것으로 보지 않고 있다고 말했다”라면서, “하지만 여기에 동의하지 않는다”라고 말했다.

 

오라클은 이 문제에 대해서 특별한 언급 없었다. 지난 주 주요 자바 업데이트를 배포했으며, 다음 패치 일정은 7월로 예정되어 있다.

 

해커들은 이 취약점을 이용해서 승인되지 않은 자바 프로그램을 구동시킬 수 있다. 자바가 개발자들로 하여금 자바 라이브러리 대안을 설치하도록 자바 가상 머신에 명령할 수 있기 때문인데, 악성 라이브러리를 생성하고 자바 가상 머신에 이를 설치하라고 명령하면, 공격자는 그의 악성 프로그램을 구동시킬 수 있다.

 

파이어아이(FireEye)의 보안 아키텍트인 마크 마이프렛은 이 버그를 즉시 패치하지 않은 것은 오라클의 실수라고 주장했다.

 

그는 이 버그가 프로그래밍 에러가 아니라 자바 내의 설계상의 문제이기 때문에 “깔끔한 버그”라고 말하면서 문제의 소지가 많다고 지적했다.

 

그러나 버라이즌 비즈니스 정보 보안 분석가 러스 쿠퍼는 자바 기반의 공격은 아직 많지 않으며, 범죄자들은 새로운 형식의 공격을 만들어 내기 보다는 브라우저, 어도비 리더 같은 잘 알려진 것들의 취약점을 이용하는데 더 많은 시간을 투자한다고 주장했다.

 

그는 “자바는 일반 사용자가 크게 걱정할 수준으로 악용된 적은 없다”라고 덧붙였다.

 

오만디에 따르면, 이번 취약점은 마이크로소프트 윈도우용 자바 SE6 업데이트 10 이후의 모든 버전에 해당되며, 시만텍에 따르면, 리눅스 사용자들도 영향을 받는다. editor@idg.co.kr

 

 Tags 구글 오라클 자바 버그

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.