본문 바로가기

벌새::Security

업데이트 : Oracle Java SE Runtime Environment 7 Update 10

2012년 12월 12일에 Oracle 업체에서는 "Oracle Java SE Runtime Environment 7 Update 10 (1.7.0_10-b18)" 버전을 출시하면서, 그 동안 문제가 되었던 Java 플러그인의 사용을 중지할 수 있도록 보안 기능을 개선하였습니다.

  Update Release Notes : Oracle Java SE Runtime Environment 7 Update 10

 

8월 하순경 Oracle Java 제로데이(0-Day) 취약점(CVE-2012-4681)을 이용한 악성코드 유포로 인하여 국내외 보안 업체에서는 Oracle Java의 보안 패치가 공개될 때까지 임시로 기능을 중지할 수 있는 방법을 공개하였습니다.

 

하지만 Java 프로그램 자체를 제어판을 통해 삭제를 하지 않는 한 임시로 기능을 중지하는데 문제가 있다는 정보가 올라오면서 업체에서는 업데이트를 통해 "Java 제어판"에서 웹 브라우저에서 Java 기능을 중지할 수 있는 옵션을 추가하였습니다.

우선 "Java 제어판"을 실행하기 위해서는 "제어판 → 프로그램 → Java" 메뉴를 실행하시기 바랍니다.

"Java 제어판""보안" 탭을 보시면 새롭게 "브라우저의 Java 콘텐츠 사용" 항목이 추가되어 세부적으로 웹 기반의 Java 콘텐츠에 대한 보안 레벨을 설정할 수 있도록 기능을 제공하고 있습니다.

 

일반적으로 Oracle Java 플러그인이 설치된 PC를 이용하여 사용자가 악의적으로 변조된 웹 사이트에 접속할 경우 악성 스크립트를 이용하여 악성 Java 콘텐츠가 실행되어 감염을 유발합니다.

 

이런 경우 사용자가 사전에 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제한 경우에는 설치된 Java 플러그인이 실행되지 않으므로 감염의 위험으로부터 안전할 수 있으며, 특히 보안 패치가 완벽하게 이루어진 환경에서도 감염이 될 수 있는 제로데이(0-Day) 취약점 환경에서 유용할 수 있습니다.

사용자가 "브라우저의 Java 콘텐츠 사용" 체크를 해제한 후 "적용" 또는 "확인" 버튼을 클릭하면 ssvagent.exe 프로그램의 실행을 허용할지 묻는 "사용자 계정 컨트롤" 창이 생성되며, "Java Plug-in settings changed"라는 메시지를 통해 설정이 변경되었음을 알려줍니다.

 

설정이 변경된 웹 브라우저의 추가 기능 관리 항목을 살펴보면 "Java(tm) Plug-In SSV Helper", "Java(tm) Plug-In 2 SSV Helper" 항목이 제거된 것을 확인할 수 있습니다.(※ Java 제어판에서 "브라우저의 Java 콘텐츠 사용" 항목을 체크하시면 기본값으로 돌아옵니다.)

 

이를 통해 Oracle Java 제품의 보안 취약점을 이용한 악성코드 유포시에는 효과적으로 웹 브라우저에서 Java 콘텐츠가 실행되어 감염으로 연결되지 않도록 차단할 수 있으므로 잘 활용하시기 바랍니다.

 

참고로 해당 보안 기능은 Oracle Java 플러그인이 설치된 환경에서 반드시 체크 해제를 하라는 의미가 아니며, 제로데이(0-Day) 취약점으로 인해 감염의 위험성이 경고된 상태에서 기능을 이용하라는 의미입니다.

 

  Oracle Java SE Support Roadmap

 

마지막으로 Oracle Java SE Runtime Environment 6 버전을 사용하시는 분들은 2013년 2월 이후로는 보안 패치를 제공하지 않으므로 반드시 제어판에서 삭제 후, Oracle Java SE Runtime Environment 7 이상의 버전을 설치하여 사용하시기 바랍니다.