2011.12.20

취약점 패치 느림보 3인방은 IBM, HP, MS... 티핑포인트 발표

Gregg Keizer | Computerworld
IBM, HP, 마이크로소프트가 세계 최대의 버그 현상금 프로그램에 의해 공지 이후 6개월 내에 취약점을 패치하는데 실패한 업체로 꼽혔다고 HP 티핑포인트의 ZDI(Zero-Day Initiative)가 발표했다.
 
2011년 동안 티핑포인트는 29건의 제로데이 권고안을 발표했는데, 권고안은 이미 6개월 전에 해당 업체에 알려준 취약점 정보를 제공한다. 29건의 권고안 중 IBM 소프트웨어가 10건, HP가 6건, 마이크로소프트가 5건이었다. 이외에도 패치에 늦은 업체로는 CA와 시스코, EMC가 있다.
 
HP 티핑포인트는 Pwn2Own 해킹 대회의 후원 업체로도 잘 알려져 있는데, 독립 보안 연구원으로부터 취약점 정보를 구매해 이를 해당 업체에 보고하는 한편, 해당 정보를 자사 보안 어플라이언스에 적용하고 있다.
 
2010년 중반 티핑포인트는 해당 업체에 취약점 정보를 제공한 후 6개월이 지나면 권고안과 함께 해당 버그에 대한 제한적인 정보를 공개하겠다고 밝힌 바 있다. 이를 통해 관련 업체가 더 빨리 패치를 내놓도록 압박을 하겠다는 의미. 그리고 최초의 제로데이 권고안을 2011년 2월 7일 발표했다.
 
지난 2월 7일 발표한 ZDI의 오피스 취약점 5개에 대해 마이크로소프트는 4월에 패치가 이루어졌는데, ZDI는 이들 취약점에 대한 정보를 2010년 6월에서 8월 사이에 마이크로소프트에 제공했다.
 
IBM과 HP는 이미 2~3년 전에 ZDI가 보고한 취약점 16개를 패치하지 않았는데, 이들 취약점은 버그 현상금 프로그램에서 공개됐다.
 
한편 올해 가장 흥미로운 경향은 이외에 산업 시스템에서 취약점이 많이 발견됐다는 것으로, SCADA(supervisory control and data acquisition)가 대표적이다. ZDI는 올해 6건의 SCADA 취약점을 확보했는데, GE와 허니웰, 인듀소프트 등 대표적인 가전제품 업체들의 소프트웨어와 관련된 것이었다.
 
하지만 ZDI는 자사가 확보한 SCADA 버그에 대한 제로데이 권고안을 하나도 발표하지 않았는데, ZDI의 연구원 포트노이 브라운은 “만약 패치가 적극적으로 이루어지지 않았다면, 티핑포인트가 이들을 누락시키지 않았을 것”이라고 덧붙였다.  editor@itworld.co.kr



2011.12.20

취약점 패치 느림보 3인방은 IBM, HP, MS... 티핑포인트 발표

Gregg Keizer | Computerworld
IBM, HP, 마이크로소프트가 세계 최대의 버그 현상금 프로그램에 의해 공지 이후 6개월 내에 취약점을 패치하는데 실패한 업체로 꼽혔다고 HP 티핑포인트의 ZDI(Zero-Day Initiative)가 발표했다.
 
2011년 동안 티핑포인트는 29건의 제로데이 권고안을 발표했는데, 권고안은 이미 6개월 전에 해당 업체에 알려준 취약점 정보를 제공한다. 29건의 권고안 중 IBM 소프트웨어가 10건, HP가 6건, 마이크로소프트가 5건이었다. 이외에도 패치에 늦은 업체로는 CA와 시스코, EMC가 있다.
 
HP 티핑포인트는 Pwn2Own 해킹 대회의 후원 업체로도 잘 알려져 있는데, 독립 보안 연구원으로부터 취약점 정보를 구매해 이를 해당 업체에 보고하는 한편, 해당 정보를 자사 보안 어플라이언스에 적용하고 있다.
 
2010년 중반 티핑포인트는 해당 업체에 취약점 정보를 제공한 후 6개월이 지나면 권고안과 함께 해당 버그에 대한 제한적인 정보를 공개하겠다고 밝힌 바 있다. 이를 통해 관련 업체가 더 빨리 패치를 내놓도록 압박을 하겠다는 의미. 그리고 최초의 제로데이 권고안을 2011년 2월 7일 발표했다.
 
지난 2월 7일 발표한 ZDI의 오피스 취약점 5개에 대해 마이크로소프트는 4월에 패치가 이루어졌는데, ZDI는 이들 취약점에 대한 정보를 2010년 6월에서 8월 사이에 마이크로소프트에 제공했다.
 
IBM과 HP는 이미 2~3년 전에 ZDI가 보고한 취약점 16개를 패치하지 않았는데, 이들 취약점은 버그 현상금 프로그램에서 공개됐다.
 
한편 올해 가장 흥미로운 경향은 이외에 산업 시스템에서 취약점이 많이 발견됐다는 것으로, SCADA(supervisory control and data acquisition)가 대표적이다. ZDI는 올해 6건의 SCADA 취약점을 확보했는데, GE와 허니웰, 인듀소프트 등 대표적인 가전제품 업체들의 소프트웨어와 관련된 것이었다.
 
하지만 ZDI는 자사가 확보한 SCADA 버그에 대한 제로데이 권고안을 하나도 발표하지 않았는데, ZDI의 연구원 포트노이 브라운은 “만약 패치가 적극적으로 이루어지지 않았다면, 티핑포인트가 이들을 누락시키지 않았을 것”이라고 덧붙였다.  editor@itworld.co.kr

X