엑티브엑스, 퀵타임 - 가장 버그많은 브라우저 플러그인(시만텍 보고서)

시만텍(Symantec)의 이번주에 발표된 웹보안 반기보고서에 따르면
2007년 2분기에, 대부분의 브라우저 플러그인중, 엑티브엑스(ActiveX)가
압도적으로 매우 많은 보안취약점이 발견되었다고 합니다.

이미 많은분들이 익히 알고계시는 마이크로소프트(Microsoft)
인터넷 익스플로러에서 사용되는 기술인 엑티브엑스의 경우
시만텍의 보고에 따르면 2007년 7월과 12월 사이에 발견된
버그만도 239개로 발생률이 79%나 됩니다.

다음으로 많은 문제가 발견된 플러그인은
애플(Apple)의 퀵타임(QuickTime)으로, 6달을 다 합한
총합이 단지 8% 밖에 안되어서, 엑티브엑스와 비교했을때
매우 대조적입니다.

모질라(Mozilla Corp.) 파이어폭스(Firefox) 브라우저의 플러그인,
정확히는 부가 기능(extension)의 경우, 같은 기간동안 오직
하나의 취약점만이 발견되어, 0.4%만을 차치하고 있습니다.

"엑티브엑스(ActiveX)는 많은 사람들이 취약점이 있는 컨트롤을
설치하게 되었다는 것을 알아차리지 못할뿐만 아니라,
한번 설치되면 상대적으로 삭제나 패치가 어렵기 때문에
매력적인 타겟이 되고 있다" 라고
시만텍이 인터넷 보안 위험 리포트 볼륨 XIII(Internet Security Threat Report Volume XIII) 에서 의견을 밝히기도 했습니다.

마이크로소프트가 이전보다 훨씬 더 안전하다고 밝힌, 2006년에 런칭한
IE7의 경우, 시만텍 리포트에서는 비록 새로운 브라우저가
플러그인 남용에 대처한 몇가지 보안 기능을 포함시키긴 했지만,
엑티브엑스(ActiveX) 취약점의 수에 측정할만한 영향력을 주진 못했다고
평했군요.

특히 기업의 경우, 2007년에 후반에 이루어진
포레스터 리서치(Forrester Research)의 조사 결과에 따르면,
 설문조사에 응한 50,000명의 기업 사용자중 오직 30% 가량만이
IE7을 사용하고 있다고 합니다. 70%나 되는 대부분의 사용자는
아직도 IE6를 쓰고 있다고 답했습니다.

시만텍은 여기에 대해서
"대다수가 아직 인터넷 익스플로러(Internet Explorer) 7 으로
업그레이드 하지 않았다는 말은, 많은 사용자가 현재 위험에
처해있음을 말한다" 라고까지 추축했습니다.

위의 모든것들에 대해, 시만텍은 보고서에서
"마이크로소프트가 윈도우나, 프로그램의 보안을 향상시키기 위해
먼길을 가는동안, 엑티브엑스는 여전히 윈도우 플랫폼을
심각한 보안에 노출시키고 있다" 고 말했습니다.

엑티브엑스의 문제는 2008년에도 향상되지 않았습니다.
예를들어, 2월의 경우 취약점의 물결 때문에
미국 컴퓨터 비상대응팀(U. S. Computer Emergency Readiness Team, US-CERT)이 사용자들에게 모든 IE 의 플러그인을 끄라고 권장한일이
있습니다.

애플의 퀵타임 미디어 플레이어는 시만텍의 불명예 플러그인 리스트
광장에서 두번째 스포트라이트 세례를 받았군요.

2007년 4분기동안, 보안 벤더들이 퀵타임에서 19개의 취약점을 발견하여,
이전보다 증가 곡선을 그리고 있음을 지적했습니다.

윈도우(Windows)와 맥(Mac OS X) 양쪽에서 실행되는 플러그인의
경우, 올해에도 좋지못한 모습을 보이고 있습니다.
한 예로, 애플의 경우 1월 이래로 16개의 취약점을 고치기 위해
프로그램을 세번이나 패치
해야만 했습니다.

시만텍의 보고서에 포함된 다른 플러그인에는
썬 마이크로시스템즈(Sun Microsystems) 의 자바(Java) - 13 개의 취약점 발견, 어도비의 플래시(11), 마이크로소프트 미디어 플레이어(4), 어도비 리더(1)
가 포함되어 있군요.

최종 수정일: 2008년 4월 13일, 13:38

서지스윈

누군가가 무언가를 시작하고 해낼 수 있는 기반을 'IT'로 전달하고 싶어 이 ‘서지스윈 @IT 블로그 매거진’를 만들었고, 지금도 설레는 마음으로 밤낮 분투하고 있습니다. 무엇보다 이 블로그, 사이트가 IT와 기술을 이해하고, 유용한 소프트웨어를 발견하는 데 도움이 되었으면 좋겠네요.

댓글