check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

마이크로소프트가 일부 버그를 바로 패치하지 않는 이유

2018년 06월 17일(일)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

MS-7.jpg
마이크로소프트는 신속한 수정이 필요한 보안 버그와 추후 릴리즈될 보안 버그를 명확히 분류하는 새로운 초안 문서를 게시했다.

이 문서에는 보고된 취약점이 패치 튜스데이 보안 업데이트에서 신속하게 수정될 것인지 또는 이후 버전 업데이트때 이루어질지를 결정하기 위한 기준이 요약되어 있다. 마이크로소프트는 이 문서가 연구원들에게 윈도우에 존재하는 보안기능, 경계 및 완화와 함께 제공되는 ‘서비스 약속(servicing commitment)’에 대한 명확한 설명을 제공하기 위한 것이라고 밝혔다.

이 기준은 두가지 핵심 질문을 중심으로 이루어진다. △“취약점이 마이크로소프트가 방어하려고 하는 보안 경계 또는 보안 기능에 의해 만들어진 규약에 위배되는가?”, △“취약점의 심각성이 서비스를 위한 기준에 만족하는가?”

두 질문에 대한 대답이 ‘그렇다’이면 보안 업데이트에서 패치가 이루어지지만 두가지 모두에 대한 대답이 ‘아니다’이면 취약점은 영향을 받는 제품(기능)의 다음버전에서 패치가 고려된다.

서비스를 위한 기준은 고객이 패치된 각 취약점의 위험을 이해하도록 돕는 것을 목적으로 하는 마이크로소프트의 심각도 등급 시스템에 의해 위험, 중요, 중간, 낮음, 없음으로 부여된다.

또 “취약점이 위험 또는 중요 등급으로 평가되고 서비스 약정이 있는 보안 경계 또는 보안 기능에 적용되면 보안 업데이트를 통해 취약점을 해결한다”라고 초안에는 설명하고 있다.

마이크로소프트는 커널 모드와 사용자 모드 간의 논리적 구분과 같이 서비스 약속을 유지 관리하는 8가지 유형의 보안 경계를 갖고 있다. 여기에는 네트워크, 커널, 프로세스, 앱컨터이너 샌드박스, 세션, 웹브라우저, 가상컴퓨터 및 가상 보안 모드가 포함된다.

서비스약속이 포함된 보안 기능에는 BitLocker 및 보안 부팅, 윈도우즈 디펜더 시스템 가드, 윈도우즈 디펜더 응용 프로그램 제어, 윈도우즈 Hello, 윈도우즈 리소스 접근 제어, 플랫폼 암호화, 호스트 보호자 서비스(Host Guardian Service) 및 인증 프로토콜이 포함된다.

나열된 모든 보안 경계 및 보안 기능은 마이크로소프트의 버그바운티 프로그램에 포함되어 있다. 그러나 마이크로소프트의 서비스 약속은 컨트롤 플로우 가드(Control Flow Guard), 코드 무결성 가드(Code Integrity Guard)및 임의코드 가드(Arbitary Code Guard)와 같은 심층 방어나 윈도우즈 10 OS 강화 기능에는 적용되지 않는다.

이들에 대한 우회 공격은 마이크로소프트의 방어기법 우회 및 보호 프로그램 버그바운티를 통해 $100,000의 보상을 받을 수 있지만 패치 튜스데이에 패치를 제공하지는 않는다.

서비스 약속에서 제외된 다른 기능으로는 제어된 폴더 접근(CantrolledFloder Access) 랜섬웨어 방어, 그리고 놀랍게도 마이크로소프트 안티 바이러스인 윈도우즈 디펜더가 포함된다.

마이크로소프트 윈도우즈 10 익스플로잇 완화기법은 구글 프로젝트제로 연구원들의 많은 관심을 받았다. 마이크로소프트는 때때로 프로젝트제로팀에 회사가 버전 업데이트를 릴리즈할 때까지 취약점 공개를 연기해줄 것을 요청했다.

이는 마이크로소프트가 이 문서에 “우리의 접근 방식에서 고객과 투명하게 전달되도록 하기 위한 것이기도하다"고 말한 이유 중 하나일 수 있다.

★정보보안 대표 미디어 데일리시큐!★


페소아 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기