지난 7월 마이크로소프트(MS)가 액티브X 취약점을 긴급 패치한 가운데, 8월 정기 보안 업데이트 역시 액티브X와 관련된 취약점이 주를 이룬 것으로 나타났다.
12일 시만텍은 MS 오피스 웹 컴포넌트와 MS 액티브 템플릿 라이브러리(ATL) 등의 취약점을 경고하고, 8월 MS 정기 보안업데이트와 관련한 패치를 조속히 설치할 것을 권고했다.
8월 MS 보안업데이트 주요 내용은 액티브X 컨트롤 취약점으로, 액티브X 컨트롤 작성에 사용되는 유틸리티인 '마이크로소프트 ATL'과 MS 오피스 웹 컴포넌트 사용시 발생하는 취약점이 포함돼 있다.
시만텍 보안연구소에 따르면, MS 오피스를 설치한 사용자들은 사용자 PC에 기본 설치되는 액티브X 컨트롤을 통해 MS 오피스 웹 컴포넌트 취약점에 그대로 노출될 수 있다.
윈도XP SP3 또는 비스타 사용자는 공격자가 영향 받는 시스템에 대해 완전한 권한을 획득할 수 있는 원격 코드 실행 문제점에 노출될 수 있다.
특히 이 같은 취약점은 사용자 모르게 또는 허락 없이 악성 콘텐츠를 사용자 컴퓨터로 다운로드 시키는 이른 바 '드라이브 바이 다운로드(drive-by download)' 방식에 악용될 수 있다.
공격자가 합법적인 웹사이트처럼 꾸며 악성 콘텐츠를 유포하는 사이트로 일반 사용자를 유도할 수 있는 것.
시만텍 측은 "이번에 발표된 주요 액티브X 패치들은 보안 사고 예방에 매우 중요한 만큼 개인 사용자들이 시스템 보안 업데이트를 반드시 설치해야 한다"며 "기업은 위험 완화 차원에서 자동 패치관리 솔루션을 도입하는 것이 좋다"고 말했다.
한편 액티브X 컨트롤은 어떤 프로그램에서 다른 애플리케이션과 호환성을 높이기 위해 운영되는 규모가 작은 프로그램이다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기