티핑포인트 버그 포상 프로그램으로 22개 결함 발견

[보안뉴스 호애진] 티핑포인트는 자사의 버그 포상 프로그램(ZDI)을 통해 마이크로소프트 오피스의 취약점 5개를 비롯, 약 22개에 이르는 미패치 취약점을 발견했다고 8일(현지시각) 밝혔다.

2005년부터 시행된 ZDI(Zero Day Initiative) 프로그램은 현업 실무자나 연구원들이 자체 발견한 취약점에 대해 포상을 실시하는 후원 프로그램으로 1만 달러의 상금이 걸려있어 많은 보안 전문가들이 참여하고 있다.

지난해 8월 티핑포인트는 공개 마감시한을 6개월로 두고 그 이전에 결함이 패치되지 않을 경우 발견한 버그 정보를 공개할 것이라고 발표했다.

과거 티핑포인트는 해당 기업에게 취약점을 알리고 패치가 발표된 후에야 자체적으로 권고문을 내보냈지만 ZDI 정책이 바뀌면서 버그 공개 보류 기한을 6개월로 정했다.

 

일부는 해당 기업에 보고된지 2년도 훨씬 넘었으나 아직 패치가 나오지 않은 것으로 나타났다. 이에 따라 티핑포인트는 기한이 만료된 취약점들에 대해 일차적으로 주의를 통보한 상태다.

22개 결함 중 9개는 IBM 소프트웨어에서, 5개는 마이크로소프트 프로그램, 4개는 휴렛팩커드 코드였으며 CA, EMC, Novell 그리고 SCO 제품이 각각 하나의 결함을 가지고 있었다.

한편, 마이크로소프트의 5개의 취약점은 모두 오피스 애플리케이션에서 나왔다. 4개는 엑셀에서, 마지막 하나는 오피스 슈트의 프리젠테이션 관리자인 파워포인트에서 나왔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>