자바 취약성 보고

Critical Java Vulnerability Jan. 12, 2013

Critical Java Vulnerability Jan. 12, 2013

자바 보안 취약성 경고

 

자바 취약성 보고

 

Oracle 의 Java 소프트웨어가 작년의 불완전한 보안 업데이트로 인해 현재까지 공격이 가능하다고 합니다. 이 취약점을 이용한 웹사이트나 애플릿에 악성코드를 삽입하여 사용자의 정보를 빼내거나, 삭제 또는 시스템 전반에 접근권한을 얻을수 있다고 합니다.

미국 컴퓨터 침해 사고 대응반 (US-CERT) 는 Java 취약성을 이용한 공경이 폭넓게 보고 되고 있으며, 새로운 취약성도 발견될 것이다라고 발표했습니다. 이에 따라 미국의 국토안보부 (Department of Homeland Security) 에서는 자바를 사용하지 말 것을 권하고 있습니다.

 

US-CERT Oracle Java 7 Security Manager Bypass Vulnerability

 

 

Java 사용중지 하는 법

Firefox
메뉴의 Tools>Add-Ons>Plugins 의 Java 플러그인을 사용안함(disable)로 변경합니다.

Chrome
주소창에 Chrome://plugins/ 을 입력한 후 Java 플러그인을 찾아 disable 합니다.

Safari
Preferences>Security tab 에서 “자바 사용 (Enable Java) 의 체크박스의 체크를 해제합니다.

Opera
Setting Page > Preferences > Advanced
Enable plug-ins only on demand를 선택하여 Opera가 실행 권한을 묻도록 설정합니다.

Internet Explorer
메모장을 이용하여 다음의 세줄을 넣고 임의의 화일명.REG 로 저장한후 실행하여 레지스트리를 추가합니다.

[HKEY_CLASSES_ROOTJNLPFile] @=”JNLP File”
“EditFlags”=hex:00,00,00,00

다음의 디렉토리 내의 jp2iexp.dll을 삭제합니다.

C:Program FilesJavajdk{version}jrebin
C:Program FilesJavajre7bin
C:Program FilesOracleJavaFX {version} Runtimebin

다음의 디렉토리 내의 npjpi{version}.dll을 삭제합니다.

C:Program FilesJavajdk{version}jrebin
C:Program FilesJavajre7bin
C:Program FilesOracleJavaFX {version} Runtimebin

Java 완전 삭제
프로그램 변경 또는 제거 메뉴에서 Java를 완전히 삭제합니다.

맥유저는 finder를 열어 JavaPlletPlugin.plugin을 찾아 휴지통으로 옮깁니다.

 

웹브라우져에서 자바 애플릿 자체는 거의 쓰지 않지만, 알게모르게 JRE 위에서 도는 어플리케이션들은 꽤 있습니다. 특히 보안에 민감한 자료를 관리하는 사용자는 새로운 패치가 나오는 동안 Java 사용을 금하는 것이 좋겠습니다. 이 보안 취약성은 다음버전의 Java 업데이트가 나올때까지 유효할 것으로 보입니다.

  • 현재 버전 Java 7. update 10 (보안 문제 있음)
  • 향후 버전 Java 7. update 11 (보안 문제 해결될 것으로 보임)

 

 

 

1 Comment
  • Veriide, Inc.

    January 17, 2013 at 12:12 pm

    Oracle에서 Java 7 update 11 을 발표했습니다. http://www.oracle.com/technetwork/java/javase/downloads/index.html

    Update 10 에서 문제가 되었던 zero-day 보안 취약점은 수정이 되었지만, 근본적인 문제 해결은 아니라고 합니다. US-CERT에서는 꼭 사용해야할 환경이 아니라면 사용하지 말것을 권고하고 있습니다. “Unless it is absolutely necessary to run Java in Web browsers, disable it […] even after updating to [Update 11].” by US-CERT