이번에 드러난 취약점은 해당 프로그램에 같이 있던 비밀번호 관리 프로그램에 있었던 것인데,
해커가 해킹하면 프로그램의 모든 내용물들을 볼 수 있었습니다.
구글의 연구자가 공식적으로 크게 비난한 이후 빠르게 취약점에 대한 픽스가 이뤄졌습니다.
자세한 사항은 지난주 구굴의 취약점 제로 프로젝트 연구팀에 있던 Tavis Ormandy가 해당 취약점을 밝히는 비판을 공개하면서 알려졌습니다.
만약 취약점을 이용하는 코드가 비밀번호 관리 프로그램에 주입되면, 그 기능을 사용하지 않은 사용자라 할지라도 취약점에 노출됩니다.
이는 사용자가 인터넷을 돌아다니면서 생긴 해시처리된 비밀번호도 아무런 처리없이 그대로 노출됐을 가능성이 있습니다.
구글의 연구자는 아래와 같이 말했습니다.
"무슨 말을 해야 할지 모르겠습니다. 어떻게 이 *묵음처리* 같은 것을 보안 전문가의 상담없이 소비자들의 기계에 올릴수가 있었나요?"
"지금 당장 이를 고칠 계획을 세워야 합니다. 솔직히 말하자면,
당신네(트렌드 마이크로 제작사)들은 저장된 모든 비밀번호들을 인터넷에 풀어버린 것 같습니다만,
일단은 원격 코드 실행을 제압하고 나서 망친 것들을 걱정하도록 하죠."
"즉, 인터넷 사용자 모두가 여러분들의 비밀번호를 전혀 들키지 않고 훔쳐갈 수 있으며, 어떠한 간섭없이도 임의의 코드들을 실행할 수 있습니다.
저는 정말 여러분이 이 문제의 중요성을 확실하게 알기를 간절히 바랍니다. 저는 이것 때문에 너무 놀랐습니다."
이러한 취약점은 수많은 코드 취약점들중에서 하나에 불과했으며, 약 30초만에 발견된 취약점이라고 합니다.
트렌드 마이크로는 핫픽스를 내놓은 상황이지만 아직도 70가지 정도의 취약점이 있을지 모른다고 했습니다.
참고로 위의 연구자는 Sophos, 카스퍼스키 랩, AVG, 파이어 아이의 심각한 취약점을 찾아낸 인물이기도 합니다.
---
얼마 전 할인으로 사신 분들 많을텐데...
저도 쓰던 중 갈아타야 고민하고 있네요.
번역하신 분의 덧글에 따르면, 비밀번호 보안기능을 사용하지 않았더라도 노출은 똑같이 되었을거라고 합니다.