애플, 자바 시큐리티 업데이트 발표

애플컴퓨터가 맥OS X 전용의 자바 시큐리티 업데이트를 발표했다. 이 업데이트가 대응하는 취약성에는 악의가 있는 공격자에 의해서 시스템에 액세스 하는데 악용 될 우려가 있는 것도 포함되어 있다.지난 17일에 공개된 「Java 2 Standard Edition 5.0 Release 4」의 업데이트는 자바 웹 스타트(Java Web Start)에 있는 취약성을 수정하는 것이지만, 이 취약성이 악용 되었을 경우, 특별히 작성한 애플리케이션을 사용하여 시큐리티 제한을 우회해 시스템의 자원에 액세스 할 수 있어 시스템내에 침입될 가능성이 있다. 자바 웹 스타트는 인터넷 등의 네트워크 경유로 자바 애플리케이션을 읽어들이기 위한 기술이다.이번 업데이트에서는 자바 런타임 인바이어런먼트(Java Runtime Environment)의 일부인 「리플렉션(reflection)」API의 버그도 수정되었다. 이러한 취약성은 공격자가 시큐리티 대책을 우회하여 시스템을 빼앗는 것에 악용 될 우려가 있다.FrSIRT(French Security Incident Response Team)는 18일에 발표한 권고 속에서 이 문제를 「긴급」으로 분류하고 있다. 이 문제는 자바2를 탑재한 맥OS X의 버전 10.4.5(클라이언트 버전과 서버 버전의 양쪽 모두)에 영향이 있다. 애플에서는 이 소프트웨어의 사용자에게 J2SE 업데이트를 다운로드해 인스톨 하도록 추천하고 있다. 이 자바의 문제는 MS 윈도우나 썬마이크로시스템즈의 솔라리스, 리눅스에도 영향이 있다. 썬은 2월에 이러한 OS에서 사용하는 웹 스타트와 자바 런타임 인바이어런먼트의 문제에 관해서 경고를 발표했다. 썬은 그 때 웹 스타트의 취약성이 악용 된 예는 없다고 했다.