지난 주 목요일(현지 시간) MS는 패치가 미적용된 마이크로소프트 인터넷 익스플로러(이하 IE)7의 버그가 해커들의 공격에 이용되고 있으며 이 취약성이 IE 6를 포함, 구 버전의 브라우저에도 존재한다고 밝히고 패치를 배포했다.

이에 앞서 MS는 추가 보안 권고를 통해 현재 지원되고 있는 IE 5.01, IE 6, IE 7뿐만 아니라 IE 8 베타2까지 모든 자사 브라우저에 버그가 존재함을 시인한 바 있다. 또한 윈도우 2000, XP, 비스타, 서버 2003, 서버 2008도 위험에 노출되어 있다고 MS는 덧붙였다.

그럼에도 불구하고 MS는 “현재 이 취약성을 이용한 윈도우 IE 7 공격 시도가 매우 한정적인 것으로 파악되고 있다”며 계속해서 사태의 심각성을 축소하려는 듯한 태도를 보이고 있다. MS는 또한 보안 연구자들이 주장했던 것과는 달리 “HTML 렌더링 코드”가 아닌 “IE 데이터 바인딩 기능에 버그가 있었다”고 문제의 원인을 설명했다.

즉, 해당 취약성은 IE의 데이터 바인딩 기능의 유효하지 않은 포인터 레퍼런스로,  데이터 바인딩이 디폴트 상태로 활성화되어있을 경우, 특정한 조건 하에서 배열 길이의 업데이트 없이 대상이 릴리스 될 수 있어 삭제된 대상의 메모리 공간에 대한 접근 가능성이 남는다는 것이다. 그러나 MS가 사용자들에게 임시로 .dll 기능을 비활성화 하도록 권장해 결국 oledb32.dll 파일이 버그를 포함하고 있음을 인정하는 것과 다를 바 없게 됐다.

한편, 덴마크 보안 기업 Secunia ASP의 CSS 카스텐 이램(Carsten Eiram)은 블로그를 통해 제로데이에 관한 권장 사항 발표 이후 자사 연구원들이 이 문제의 정확한 성질을 알아내기 위해 노력해왔다며 “상당히 많은 정보와 추측이 잘못된 것으로 판명됐다”고 주장했다.

그의 설명에 따르면 대다수의 사람들이 처음에 생각했던 해당 취약성이 오직 IE 7에만 존재하며 XML 프로세싱과 관련이 있다는 생각은 틀렸으며 IE의 인터넷 보안을 “높음”으로 설정하고 스크립팅을 비활성화하면 공격에서 벗어날 수 있다는 생각 역시 부분적으로만 옳을 뿐이라는 것이다.

그는 “기술적으로는 여전히 취약성이 트리거될 가능성이 있다”면서도 “그러나 그것이 스크립팅을 이용한 공격으로부터 보호해주기 때문에 익스플로이트를 좀 더 어렵게 하는 것은 사실”이라고 덧붙였다. 아울러 그는 MS의 추가 보안 권장사항에 따라 사용자들은 윈도우 레지스트리를 에디트해 oledb32.dll 파일을 비활성화해야만 한다고 강조했다.

이와 같은 데이터 바인딩 버그는 지난 1999년 11월에 배포된 IE 5.01을 포함, 현재 지원되고 있는 모든 IE 버전에서 발견됐다. 현재 마이크로소프트 업데이트 및 윈도우 업데이트 서비스는 물론 윈도우 서버 업데이트 서비스를 통해 해당 패치를 다운로드할 수 있다고 MS는 밝혔다.
[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>