지난 28일(현지 시간) MS에서 긴급 비정규 보안 패치를 배포하기에 앞서 보안 연구자들이 윈도우 소프트웨어 개발 취약점에 관한 PoC 시연 동영상을 공개해 많은 관심을 끌었다.

보안 연구자 라이언 스미스(Ryan Smith)는 최근 동료 연구자 마크 다우(Mark Dowd), 데이빗 듀이(David Dewey)와 함께 Hustlelabs 웹사이트를 통해 윈도우 컴퓨터를 컨트롤 할 수 있는 공격에 대한 PoC(proof-of-concept, 개념 증명)를 시연했다. 이는 29일(현지 시간) 블랙햇(Black Hat) U.S.A에서의 시연에 앞서 공개한 프리뷰 동영상으로, 액티브X 실행 방지 설정 우회 가능성을 제기하고 있다. 

스미스는 “일반적으로 킬빗(kill bit)이 언제 브라우저에 영향을 끼치는지 설명하기 어렵다”며 “킬빗 비주얼라이저(Killbit Visualizer)가 이 문제를 해결해줬다”는 말과 함께 마이크로소프트(MS)의 액티브X 프로그램 실행 방지 설정인 ‘킬빗(kill bit)’을 우회하는 방법을 시연했다.

한편 스미스의 동영상이 공개되기 전에 Halvar Flake로 알려져 있는 보안 연구자 토머스 덜리엔(Thomas Dullien)도 블로그를 통해 킬빗 우회 이슈를 제기하며 “이달 초 MS가 IE의 버그 코드 로드를 방지하기 위해 배포한  패치는 분명히 불충분하다”고 언급했다.

즉, 버그가 액티브 템플릿(Active Template Library, ATL) 버전을 이용된 제작된 제3자 애플리케이션을 우회할 수 있다는 것으로, 윈도우 및 제3자 애플리케이션 제품에 수백 개의 잠재적인 보안 취약점이 있을 수 있다는 것으로 이해할 수 있다.

이에 MS는 지난 28일(현지 시간) 긴급 보안 업데이트를 배포하고 개발자들이 윈도우에 사용되는 프로그램 작성 시 이용하는 비주얼 스튜디오(Visual Studio)의 액티브 템플릿 라이브러리(ATL)의 취약점들을 처리하는 보안 업데이트 MS09-035를 통해 개발자들이 취약한 애플리케이션을 구축하지 않도록 해야 한다고 강조했다.

아울러 킬빗 설정 우회 취약점에 대한 비정기 패치를 8월 5일에 배포할 예정이라고 밝혔다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>