2012.08.30

최근 악용되고 있는 자바 취약점, "오라클은 몇달 전부터 알고 있었다"

Lucian Constantin | IDG News Service
폴란드 보안 업체 시큐리티 익스플로레이션 창립자이자 CEO 아담 고디악에 따르면, 오라클은 최근 멜웨어 공격에 악용되는 두 개의 패치되지 않은 자바 7 취약점의 존재를 4월부터 알고 있었다. 
 
고디악은 지난 수요일 이메일을 통해 시큐리티 익스플로레이션은 4월 2일 19개의 자바 7 보안 이슈를 오라클에게 제기한 바 있다고 밝혔다. 
 
그때 제기한 보안 이슈에는 이번에 패치되지 않아 4월부터 제로데이가 발생, 컴퓨터에 멜웨어를 감염시키는 데 악용되고 있는 두 개의 취약점을 포함했다.  
 
고디악은 "오라클에게 여러 달에 걸쳐 총 29개에 달하는 자바 7 취약점에 대해 보고했다"며, 우리가 발견한 버그를 사용해 자바 SE 7 샌드박스를 침입하는 것을 보여줄 수도 있다"고 말했다.  
 
보안 업체 이뮤니티 연구원에 따르면, 이번 주 초에 온라인에 퍼진 블랙홀 공격 툴킷은 종전에 하나라고 믿었던 것과는 달리 두 개의 자바 취약점을 사용해 만들어져 통합된 것이다. 
 
시큐리티 익스플로레이션 측은 이 두 개의 취약점은 지난 4월 클래스파인더 클래스와 메소드파이더 클래스에서 각각 발견, 보고했으며, 특히 어떻게 우회해서 들어가는 지 방법까지 설명한 바 있다고 말했다.  
 
이뮤니티 연구원은 "이 때문에 같은 취약점을 발견했거나, 취약점 보고서를 다루는 프로세스에 결함이 있다는 생각보다는 새로운 독립된 취약점을 발견한 것으로 믿었다"고 말했다. 
 
그러나 고디악은 "오라클에서 취약점 정보를 공유하고 있는 이들과 형식, 그리고 상세한 프로세스에 대해 아무도 알지 못한다"고 말했다.  
 
8월 23일 오라클에서 나온 상태 보고서에 따르면, 이 업체는 이번에 문제시된 두 개의 취약점 해결을 10월에 있을 자체 CPU(Critical Patch Update) 때 할 것으로 계획하고 있다. 
 
오라클은 보안 패치는 넉달마다 한번 씩이다. 최근 자바 CPU는 지난 6월에 발표했는데, 폴란드 보안 업체에 의해 보고된 보안 이슈 가운데 세 개뿐이었다.  
 
고디악은 "오라클과 함께 지속적으로 연락함에도 불구하고 커뮤니케이션 프로세스는 꽤 흠이 많다. 우리는 왜 오라클이 10월까지 이 많은 심각한 버그를 남겨뒀는지 이해할 수가 없다"고 말했다. 
 
시큐리티 익스플로레이션은 오라클의 패치가 제때 이뤄지기를 원하고 있다. 고디악은 "우리는 오라클이 가능한 한 빨리 이번 보안 이슈를 해결하기 위해 자바 CPU를 발표할 것을 희망한다"고 말했다.   
 
이미 이번 취약점을 보고했다는 시큐리티 익스플로레이션의 주장에 대해 오라클은 즉답을 회피했다. 오라클은 이 두 개의 취약점에 대해 공식적인 대응을 하지 않고 있다. editor@itworld.co.kr  


2012.08.30

최근 악용되고 있는 자바 취약점, "오라클은 몇달 전부터 알고 있었다"

Lucian Constantin | IDG News Service
폴란드 보안 업체 시큐리티 익스플로레이션 창립자이자 CEO 아담 고디악에 따르면, 오라클은 최근 멜웨어 공격에 악용되는 두 개의 패치되지 않은 자바 7 취약점의 존재를 4월부터 알고 있었다. 
 
고디악은 지난 수요일 이메일을 통해 시큐리티 익스플로레이션은 4월 2일 19개의 자바 7 보안 이슈를 오라클에게 제기한 바 있다고 밝혔다. 
 
그때 제기한 보안 이슈에는 이번에 패치되지 않아 4월부터 제로데이가 발생, 컴퓨터에 멜웨어를 감염시키는 데 악용되고 있는 두 개의 취약점을 포함했다.  
 
고디악은 "오라클에게 여러 달에 걸쳐 총 29개에 달하는 자바 7 취약점에 대해 보고했다"며, 우리가 발견한 버그를 사용해 자바 SE 7 샌드박스를 침입하는 것을 보여줄 수도 있다"고 말했다.  
 
보안 업체 이뮤니티 연구원에 따르면, 이번 주 초에 온라인에 퍼진 블랙홀 공격 툴킷은 종전에 하나라고 믿었던 것과는 달리 두 개의 자바 취약점을 사용해 만들어져 통합된 것이다. 
 
시큐리티 익스플로레이션 측은 이 두 개의 취약점은 지난 4월 클래스파인더 클래스와 메소드파이더 클래스에서 각각 발견, 보고했으며, 특히 어떻게 우회해서 들어가는 지 방법까지 설명한 바 있다고 말했다.  
 
이뮤니티 연구원은 "이 때문에 같은 취약점을 발견했거나, 취약점 보고서를 다루는 프로세스에 결함이 있다는 생각보다는 새로운 독립된 취약점을 발견한 것으로 믿었다"고 말했다. 
 
그러나 고디악은 "오라클에서 취약점 정보를 공유하고 있는 이들과 형식, 그리고 상세한 프로세스에 대해 아무도 알지 못한다"고 말했다.  
 
8월 23일 오라클에서 나온 상태 보고서에 따르면, 이 업체는 이번에 문제시된 두 개의 취약점 해결을 10월에 있을 자체 CPU(Critical Patch Update) 때 할 것으로 계획하고 있다. 
 
오라클은 보안 패치는 넉달마다 한번 씩이다. 최근 자바 CPU는 지난 6월에 발표했는데, 폴란드 보안 업체에 의해 보고된 보안 이슈 가운데 세 개뿐이었다.  
 
고디악은 "오라클과 함께 지속적으로 연락함에도 불구하고 커뮤니케이션 프로세스는 꽤 흠이 많다. 우리는 왜 오라클이 10월까지 이 많은 심각한 버그를 남겨뒀는지 이해할 수가 없다"고 말했다. 
 
시큐리티 익스플로레이션은 오라클의 패치가 제때 이뤄지기를 원하고 있다. 고디악은 "우리는 오라클이 가능한 한 빨리 이번 보안 이슈를 해결하기 위해 자바 CPU를 발표할 것을 희망한다"고 말했다.   
 
이미 이번 취약점을 보고했다는 시큐리티 익스플로레이션의 주장에 대해 오라클은 즉답을 회피했다. 오라클은 이 두 개의 취약점에 대해 공식적인 대응을 하지 않고 있다. editor@itworld.co.kr  


X