2013년 1월 2일경부터 Oracle Java 7 최신 버전의 제로데이(0-Day) 취약점(CVE-2013-0422)을 이용하여 해외 범죄 도구(Blackhole Exploit Kit, Nuclear Pack Exploit Kit 등)를 이용한 정보 유출형 ZBot, 랜섬웨어(Ransomware) 등의 악성코드가 현재까지 활발하게 유포되고 있습니다.
▷ Java 제로데이(0-Day) 취약점(CVE-2013-0422)을 이용한 악성 이메일 유포 주의 (2013.1.11)
이에 따라 Oracle 업체에서는 2건(CVE-2012-3174, CVE-2013-0422)의 보안 취약점 문제를 해결한 "Oracle Java SE Runtime Environment 7 Update 11 (1.7.0_11-b21)" 버전을 긴급 업데이트 하였습니다.
▷ Update Release Notes : Java™ SE Development Kit 7, Update 11 (JDK 7u11)
이번 업데이트에서는 "Oracle Security Alert for CVE-2013-0422" 보안 공지에서 언급한 것처럼 웹 브라우저를 이용하여 악의적으로 조작된 웹 사이트를 방문할 경우, Oracle Java 7 보안 관리자 우회 취약점(CVE-2013-0422)을 이용하여 원격 코드 실행이 가능한 문제를 해결합니다.
□ JDK & JRE 7 Update 10 버전 및 하위 버전 → Oracle Java SE Runtime Environment 7 Update 11 버전
※ JDK & JRE 6, 5.0, 1.4.2 버전대 프로그램에서는 영향을 받지 않습니다.
이번 업데이트가 적용된 경우에는 Java 제어판의 Java applets과 Start applications 보안 레벨 수준이 "중간(권장) → 높음"으로 변경되었으며, 이를 통해 서명되지 않은 어플리케이션이 백그라운드 방식으로 동작하기 이전에 항상 사용자에게 경고를 하게 됩니다.
업데이트를 위해서는 "제어판 → 프로그램 → Java" 메뉴를 이용하여 생성된 Java 제어판의 갱신 항목의 "지금 갱신"을 클릭하여 자동 업데이트를 진행할 수 있습니다.
설치가 완료된 후에는 CVE-2013-0422 취약점으로 인하여 임시적으로 Java 제어판의 보안 항목에서 "브라우저의 Java 콘텐츠 사용"에 체크 해제한 경우에는 반드시 체크를 하시기 바랍니다.
또한 업데이트 완료 후 최초로 Internet Explorer 웹 브라우저 실행시 "Java(tm) Plug-In SSV Helper" 추가 기능 사용과 관련된 바가 생성될 경우 "사용" 버튼을 클릭하여 허용하시기 바랍니다.(※ Windows 7 운영 체제에서 기존에 "브라우저의 Java 콘텐츠 사용" 항목을 체크 해제하지 않았던 사용자는 "사용자 계정 컨트롤" 창이 생성됩니다.)
현재 CVE-2013-0422 취약점을 이용한 악성코드 유포 행위가 인터넷 상에서 지속적으로 발견되고 있으므로, Oracle Java 플러그인이 설치된 PC 사용자는 반드시 업데이트를 확인하여 최신 버전을 설치하시고 인터넷을 이용하시기 바랍니다.