Offcanvas

보안 / 애플리케이션

오라클의 자바 7 취약점, 패치 발표 직후 또 발견

2012.09.03 Lucian Constantin  |  IDG News Service
지난 목요일 폴란드 보안 업체인 시큐리티 익스플로레이션의 보안 연구원들은 자바 샌드박스를 피하고 저간의 시스템에서 임의의 코드를 실행할 수 있는 자바 7의 보안 취약점을 발견했다. 
 
시큐리티 익스플로레이션의 창업자이자 CEO인 아담 고디악은 이메일을 통해 "시큐리티 익스플로레이션은 지난 금요일 이번에 발견된 취약점을 PoC(proof-of-concept)와 함께 오라클에 보냈다"고 밝혔다.  고디악은 이번 취약점에 대해 오라클이 공식적으로 처리할 때까지 어떠한 상세한 기술 설명도 하지 않을 것"이라고 말했다. 
 
지난주 목요일, 오라클은 4개월마다 한번씩 패치하는 주기를 깨고 자바 7 업데이트 7을 발표한 바 있다. 이번 응급 보안 업데이트에서는 지난 주 공격자들이 컴퓨터들을 멜웨어에 감염시키는 데 악용하던 두 개의 취약점을 포함해 세 개의 취약점이 다뤄졌다.
 
오라클에 따르면, 보안 세부 사항에서 자바 7 업데이트 7은 직접적으로 악용하는 것이 아니라 다른 취약점에 악영향을 주는 취약점을 패치했다. 

이번 보안 세부 사항 패치에 대해 고디악은 자바 가상 머신(JVM)의 보안을 우회하는 POC를 만들어 오라클에 보고했지만, 효과가 없었다고 말했다(고디악은 이를 '익스플로테이션 벡터'라 불렀다). 
 
고디악에 따르면, 지난 4월 시큐리티 익스플로레이션은 현재 공격자들에 의해 활발히 악용되는 두 개의 취약점을 포함해 자바 7에 있는 29개 취약점을 오라클에게 보고했다. 이 보고서에는 샌드박스를 완전히 우회할 수 있는 취약점과 결합해 저간의 시스템에서 임시 코드를 실행할 수 있는 16개 PoC가 동봉됐다. 
 
고디악은 "이번 자바 7 업데이트 7을 통해 sun.awt.SunToolkit 클래스의 이행으로부터 겟필드(getField)와 겟메소드(getMethod) 수단이 제거되어 시큐리티 익스폴로레이션 POC의 모든 것을 할 수 없게 됐다"고 말했다.   
 
그러나 이것은 단지 익스플로레이션 벡터가 모두 제거됐기 때문이 아니라 패치에 의해 모든 취약점이 타깃에서 벗어났기 때문이라고 설명했다.  
 
시큐리티 익스플로레이션은 오라클이 패치하지 않고 남겨둔 취약점 가운데 몇 개가 JVM 샌드박스를 우회할 수 있어 자바 7 업데이트 7과 결합할 수 있다는 새로운 취약점을 발견했다. 
 
고디악은 "이 업데이트를 적용한 뒤 자바 샌드박스를 우회하는 코드는 완전히 멈췄다. 그러나 POC 코드를 다시 보면서 가장 최근 자바 업데이트를 깰 수 있는 방법에 대해 생각하기 시작했을 때, 새로운 아이디어는 금방 나왔고 이는 입증됐다"고 말했다. 
 
고디악은 오라클이 지난 4월 시큐리티 익스플로레이션이 보고한 취약점을 남겨둔 것과 이번에 새로 발견된 취약점을 언제 패치할 지 모른다.  
 
오라클이 새롭게 자바 보안 업데이트를 발표할 것인지 이전에 계획했던 데로 그대로 할 것인지 분명하지 않다. 보안 연구원들은 개발업체들이 보고된 취약점을 패치하지 않고 시간을 너무 많이 걸린다면 공격자는 알지 못했던 것들도 발견할 지 모른다고 경고해왔다.
 
같은 제품에서 다른 버그 사냥꾼에 의해 같은 취약점이 독립적으로 발견하는 일이 발생했다. 이번에 자바 7 업데이트 7에 의해 패치된 두 개의 자바 취약점이 바로 그것이다. 고디악은 "독립적으로 발견한다는 것을 배제할 수 없다. 이번 새로운 취약점 또한 다른 이들에 의해 발견되는 것이 그리 어렵지 않을지도 모른다"고 말했다.  
 
시큐리티 익스플로레이션 연구원들은 지금까지 자바 취약점을 발견해옴으로써 자바 6이 자바 7보다 좀더 안전하다는 것을 알렸다. 고디악은 "자바 7은 침입하기가 너무 쉬워졌다. 자바 6에서는 자바 소프트웨어용 퀵타임에 있는 취약점을 제외하면 샌드박스를 완전히 침입하는 데는 실패했다"고 말했다. 
 
고디악은 많은 보안 연구원들이 자바가 필요하지 않다면 시스템에서 빨리 제거하라고 충고한 말을 반복했다. editor@itworld.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.