오라클이 지난주 알려진 자바7 보안취약점 패치를 공개했다.
회사는 13일(현지시각) 소프트웨어보안보증(SSA) 공식블로그에 'CVE-2013-0422'라는 보안 경보를 게재해 이같이 밝혔다.
오라클이 지난주 배포한 자바7 업데이트10 버전에는 이를 설치한 사용자가 웹사이트에 들르기만해도 악성코드에 감염될 수 있는 문제가 있었다. 해당 보안취약점은 당시 '블랙홀' 또는 '쿨' 이란 이름으로 불리는 익스플로잇키트(취약점 공격도구)에도 적용된 것으로 알려졌다.
그러나 오라클은 한 프랑스 보안연구원이 문제를 발견하고 미국 국토부 산하 침해사고대응팀(US-CERT)이 이를 경고할 동안에도 패치를 내놓지 못했다. 이 때문에 애플은 맥 컴퓨터의 OS X 환경에서 자바7 플러그인 실행을 막았고, 모질라는 파이어폭스 브라우저에서 자바가 자동실행되지 않게 만들어 사용자들을 보호했다.
현재 오라클 공식사이트(http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html)에서 데스크톱용 자바7 업데이트10 이후 버전 사용자를 위한 보안패치를 내려받을 수 있다. 개인과 기업 사용자 환경에서 광범위하게 쓰여온 자바 기술의 보안에 떨어진 신뢰가 즉시 회복될 것이라 보긴 어렵다.
이를 보도한 한 외신은 오라클의 에릭 P. 모리스가 이 취약점들은 서버, 데스크톱애플리케이션, 임베디드 환경에서의 자바에는 영향을 미치지 않는다고 언급한 점을 지적하며 자바에 대한 전반적 인식이 훼손당하지 않을까하는 회사측의 우려를 드러냈다고 묘사했다.
실제로 해당 취약점은 브라우저에서 돌아가는 자바 기술에만 해당한다. 공격자가 조작한 HTML문서를 사이트에 올려놓고 자바7 업데이트10 버전을 설치한 방문자를 유도하기만 하면 원하는 명령을 실행할 수 있다. 개인정보를 유출시킬 수 있는 악성코드나 유해소프트웨어를 몰래 설치하는 것도 가능해진다.
오라클은 향후 자바에서 같은 취약점이 노출되더라도 자동적으로 유해소프트웨어가 실행되지 않도록 조치했다. 브라우저 안에서 돌아가는 자바의 기본 보안등급을 '높음'으로 만든 것이다.
관련기사
- 애플 OS X에서 자바7 못쓴다2013.01.14
- 자바 제로데이 취약점 또다시 공개돼2013.01.14
- 차세대 자바, 웹기술·성능 초점…PaaS 미뤄2013.01.14
- 자바7 패치 수시간 만에 또 취약점 발견2013.01.14
이에 대해 모리스는 불특정한 사용자가 어떤 웹사이트에 들어가면 거기서 '애플릿(applet)'을 실행하기 앞서 안내를 받게 될 것이라며 잠재적으로 유해한 애플릿 실행을 거부할 수 있을 것이다고 설명했다.
한편 오라클은 지난해 하반기에도 자바7 보안취약점을 노출당해 이를 수정했는데 몇시간만에 또다른 취약점을 드러내기도 했다.
