'Java SE'에 해당되는 글 1건

  1. 2010.10.20 JAVA 업데이트하세요. 아도브만 하지 마시고!
최근 아도브(Adobe)의 리더에서 제로데이 취약점이 발견되어 그 심각성이 널리 알려지고 있습니다. 하지만, 아도브 뿐만 아니라 오라클이 개발하여 운영하는 자바에서도 보안상 심각한 문제가 많음에도 불구하고 언론이나 기타 매체에서 그리 큰 신경을 쓰지 않는 것으로 보여 정리해 봤습니다.


2010년 10월 12일, 오라클은 Java 6 Update 22를 발표했습니다.  이번 업데이트에서는 총 29개의 취약점을 해결하고 있으며 이 중에서 10개는 CVSSv2에서 정한 10점으로, 만점(!) 정도에 해당하는 아주 치명적인 취약점입니다. 워낙 표가 큰 관계로 아래 링크로 대신합니다.


자바는 그 특성상 자체적으로 운영되는 형태의 플랫폼이 아니라 애플리케이션을 돌리게 해주는 일종의 라이브러리로 볼 수 있습니다. 따라서, 실제 아도브의 경우처럼 PDF 문서를 보기 위해서 리더를 설치하는 등의 상황을 사용자가 익히 알 수 있지만, 자바는 실행되는 순간이 프로그램을 실행할 때 잠시 표시줄에 나타나게 되므로 자바를 사용하는지 실제로 알기가 어렵습니다.

그리고, 언론이나 매체에서도 자바에 대한 문제점이나 보안 업데이트에 대한 정보를 소개하는데 그리 큰 의미를 두지 않는 것으로 보입니다.

즉, 총체적으로 아무도 알지도 알 수도 없는 상황인 것입니다.


이러한 연유로 인해 보안 패치가 제대로 이뤄지지 않아 외국의 인터넷 범죄에서도 PDF보다 더 많이 이용되고 있는 상황입니다.

예를 들어 보면, 해킹할 때 자주 애용되는 익스플로잇 킷 중의 하나인 "Blackhole"에서조차 PDF의 취약점보다는 자바의 취약점을 이용하는 사례가 늘어나고 있다는 사실입니다.
<설명: 빨간 색으로 표시된 부분이 악성 코드를 다운로드한 내역을 분류한 것입니다>

위의 그림에서 자바를 이용하는 비율이 거의 8-90% 이상인 것을 알 수 있습니다.


물론 자바를 설치하여 이용하는 사용자 측면에서는 가급적 최신 버전을 사용하고 보안 패치가 나올 때마 즉시 적용하는 방법 이외에는 뾰족한 다른 방법이 없습니다.

출처: http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory