애플이 퀵타임의 오래된 코드를 지우는데 실패해 인터넷 익스플로러를 이용하는 사람들이 드라이브 바이(drive-by) 공격에 취약하게 한다는 주장이 제기됐다.
지난 달, IE8의 버그를 발견했던 스페인 마드리드의 윈터코어(Wintercore)의 연구원인 루벤 산타마르타는 30일 퀵타임 플러그인 취약점에 대해서 밝혔다.
해커들이 필요한 것은 사용자를 악성 익스플로잇(exploit) 코드가 호스팅되어 있는 악성 사이트에 방문하게 하는 것뿐이다. 이 공격 코드는 윈도우 XP, 비스타, 윈도우 7 운영체제에서 IE를 구동하고, 퀵타임 7.x나 오래된 퀵타임 6.x 버전이 설치되어 있는 경우에 해당된다.
산타마르타의 익스플로잇은 애플이 퀵타임의 “_Marchaled_pUnk” 기능을 없애고 나서 해당 코드를 지우지 않아 작동하는 것이다.
산타마르타는 “이 기능이 새로운 버전에서는 삭제됐어도 파라미터는 아직도 있다. 왜일까? 아마도 지우는 것을 잊어버린 듯 하다”라고 말했다.
이 공격 코드는 또한 마이크로소프트가 윈도우에 추가한 여러 주요 보안 기능들, DEP(data execution prevention)나 ASLR(address space layout randomization)을 통과한다.
DEP나 ASLR을 통과하는 것은 새로운 것이 아니다. 지난 3월 열린 Pwn2Own 콘테스트에서는 IE8을구동하는 윈도우 7에서 DEP나 ASLR을 통과하는 공격 코드로 1만 달러의 상금이 수여된 바 있다. 또한, 지난 달에 산타마르타는 IE8 버그 역시 이 보안 기능들을 통과할 수 있다고 밝힌 바 있다.
래피드7(Rapid7)의 CSO인 HD 무어는 “이 이슈는 퀵타임과 IE가 널리 이용되고 있는 만큼, 드라이브 바이(drive-by) 공격에 이용될 수 있다”라면서, “다른 브라우저 기반의 익스플로잇과 다르게, ALSR/DEP가 있는 윈도우 7은 퀵타임 자체의 보호되지 않은 DLL 때문에 감지하기가 쉽지 않다”라고 설명했다.
무어는 이어, 산타마르타의 버그를 이용한 공격이 조만간 많아질 것이라면서, 주의를 요망했다. 애플이 패치를 내놓기 전까지는 퀵타임 플러그인을 삭제하거나 불능화 시켜야 한다. gkeizer@ix.netcom.com