모질라사의 파이어폭스 브라우저가 버그 논란에 휩싸였다. 특히 지난 주 보고된 이 버그에 대해 모질라가 ‘사실이 아니다’라고 주장해 더욱 귀추가 주목된다.

모질라(Mozilla)가 지난주 자사 트레이스멍키(TraceMonkey) 자바스크립트 엔진의 JIT(just-in-time) 컴플라이어의 버그와 관련된 새로운 패치 버전을 배포한지 얼마 되지 않아 파이어폭스에 영향을 끼치는 새로운 스택 오버플로우 취약점이 보고 됐다.

지난 일요일(현지 시간) SANS 인터넷스톰센터는 해커가 이 취약점을 익스플로이트할 경우 코드 실행이 가능하다고 경고했다. 그러나 모질라는 이것이 사실이 아니라고 주장하고 있다.

모질라 기술팀의 마이크 쉐이버(Mike Shaver)는 지난 19일(현지 시간) 모질라 시큐리티 블로그(http://blog.mozilla.com/security)를 통해 “지난 몇 일간 어떤 매우 긴 유니코드 스트링 처리와 관계된 파이어폭스의 버그에 대한 몇몇(SANS를 포함해) 보고가 있었다”고 시작하며 “이러한 스트링은 일부 파이어폭스 버전의 캐시로 귀결되는데 일부 언론과 보안 단체들이 이를 익스플로이트 가능한 버그라고 부정확하게 설명하고 있다”고 언급했다.

이어 “우리의 분석에 따르면 이는 사실과 다르며 익스플로이트된 예도 보지 못 했다”고 강조했다.

또한 그는 “윈도우에서 파이어폭스 3.0.x, 3.5.x는 매우 대량의 스트링 버퍼를 할당할 때 잡히지 않는 예외로 종료되는데 이는 안전하고 일시적인 종료일 뿐”이라며 “(이것이) 공격자의 코드 실행을 허용하지 않는다”며 논란이 되고 있는 부분은 버그가 아니라 정상적인 작동이라고 설명했다.

한편 모질라는 공격 코드가 표면화된 이후 트레이스멍키(TraceMonkey) 취약점을 픽스하기 위한 파이어폭스 3.5.1 버전을 지난 주 배포했다.
[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>