마이크로소프트(MS), 모질라, 구글, 애플이 일제히 브라우저 업데이트를 내놨거나 내놓기로 했다. 최근 발견된 주요 중앙처리장치(CPU) 보안 결함에 대응해 내린 조치다. 스마트폰, 태블릿, 노트북, 데스크톱 사용자는 각 브라우저 업데이트를 적용할 필요가 있다.
앞서 지난주 인텔, AMD, ARM 중앙처리장치(CPU)에서 컴퓨터가 메모리의 데이터를 유출당할 수 있는 취약점이 발견됐다는 소식이 나왔다. 사용자가 어떤 운영체제(OS)와 애플리케이션을 쓰든, 민감한 사용자 정보가 빼돌려질 수 있다는 우려가 불거졌다. [☞관련기사]
CPU 제조사, 일부 소프트웨어(SW) 개발업체는 프로젝트제로 팀으로부터 이 내용을 미리 전달받고, 컴퓨터 제조사를 위한 펌웨어 및 SW 업데이트를 마련해 왔다. 일반 사용자는 이제 제조사가 제공하는 보안패치를 각자의 컴퓨터에 적용해야 한다. [☞관련기사]
컴퓨터에 제조사 보안패치를 적용하는 것에 더해, 운영체제(OS)와 웹브라우저에도 관련 취약점이 악용되지 않도록 조치할 필요가 있다. 이미 개발업체가 해당 SW제품을 쓰는 일반 사용자를 위한 업데이트를 제공하기 시작했거나 조만간 배포하겠다고 예고한 상태다.
■MS IE11-엣지 업데이트 배포
지난 3일부터 MS는 인터넷익스플로러(IE) 11 버전과 윈도10 기본 브라우저 엣지(Edge)의 보안 업데이트(KB4056890)를 배포 중이다. [☞관련기사]
MS의 설명에 따르면 보안전문가들이 분석한 '투기적 실행 사이드채널 공격(speculative execution side-channel attacks)' 기법은 브라우저에서 자바스크립트코드 실행 과정에 사용될 수 있다. 공격자가 메모리에서 처리되고있는 데이터에 접근할 수 있게 해준다.
회사는 이를 대비해 보안 업데이트로 일단 브라우저의 '셰어드어레이버퍼' 지원 기능을 제거했고 'performance.now()'라는 자바스크립트 메서드의 결과값 정밀도를 5마이크로초(㎲)에서 20㎲로 완화했다. 향후 위협 정도를 고려한 후속 대응을 약속했다. [☞원문보기]
■모질라 파이어폭스57.0.4 배포
3일부터 모질라는 파이어폭스 사용자를 위한 최신 업데이트를 57.0.4 버전으로 배포 중이다. 같은 변화가 베타 및 개발자 버전 58.0b14와 나이틀리 버전 59.0a1에도 적용됐다. [☞원문보기]
파이어폭스 최신버전은 셰어드어레이버퍼 기능을 기본 비활성화하고 MS처럼 performance.now() 메서드의 정밀도를 20㎲로 낮췄다. 셰어드어레이버퍼 기능이 없는 파이어폭스52 ESR 버전은 상대적으로 잠재적 위협이 덜한 것으로 평가됐지만 이를 패치한 52.6 ESR 버전도 오는 23일 배포될 예정이다.
모질라 SW엔지니어 루크 와그너는 "최근 몇곳에서 공개한 연구결과는 현대 CPU에서 멜트다운과 스펙터라는 새로운 시점공격(timing attacks) 유형을 소개했는데, 내부 실험 결과 그와 유사하게 웹콘텐트에서 상이한 출처의 개인정보를 읽어내는 수법이 가능함을 확인했다"고 설명했다.
■구글 크롬63 사이트격리 사용 권고…V8 엔진 대응 강화한 64 버전 예고
구글은 크롬 브라우저를 쓰는 개인 및 기업 대상으로 '사이트격리(Site Isolation)' 기능을 기본 활성화할 것을 권고했다. [☞원문보기]
사이트격리는 크롬이 각 웹사이트 콘텐츠 렌더링을 별도 프로세스로 다루게 하는 기능이다. 이걸 쓰면 멜트다운과 스펙터 공격기법을 가리키는 투기적 실행 사이드채널 공격의 데이터 유출 위협을 낮출 수 있다는 설명이다. 최신 버전인 크롬63에선 비활성 상태로 제공된다.
구글은 지난 5일부터 MS, 모질라와 마찬가지로 향후 크롬 브라우저에선 셰어드어레이버퍼 기능을 기본 비활성화하고, performance.now() 동작 수준도 변경했다. 오는 23일 배포되는 크롬64 버전부터는 위협 대비 수준을 강화한 V8 자바스크립트엔진을 내놓겠다고 밝혔다.
■애플 사파리 버전 업데이트 예고
애플은 지난 4일 '모든 맥 시스템 및 iOS 기기'가 멜트다운과 스펙터의 위협 대상이 될 수 있음을 확인했다. [☞관련기사] 다만 워치OS는 스펙터 공격의 영향을 받지 않는다고 덧붙였다.
관련기사
- 패치 내놓은 인텔, 'CPU 결함' 해결될까2018.01.07
- 최악의 버그, CPU 기본 구조 건드렸다2018.01.07
- MS-애플, '앱같은 웹' 표준 기술 구현2018.01.07
- 파이어폭스 퀀텀, 빨라진 또 다른 이유2018.01.07
회사는 지난 5일자 애플 공식사이트 기술지원페이지를 통해 "멜트다운 공격 위협에 대응한 iOS 11.2, 맥OS 10.13.2, tvOS 11.2 업데이트를 이미 내놨다"며 "수일내에 사파리에서 스펙터 공격에 대응할 수 있는 방안을 내놓을 계획"이라고 밝혔다. [☞원문보기]
회사는 배포를 준비중인 사파리 업데이트의 성능 테스트 결과, 스피도미터(Speedometer) 및 ARES-6에선 유의미한 차이가 없었고 젯스트림(JetStream)에선 성능 감소치가 2.5% 미만이었다고 설명했다.