MS가 아닌 기업이 「인터넷 익스플로러(Internet Explorer)」의 심각한 취약성에 대한 써드파티 패치를 발표했지만 보안 전문가는 MS의 것이 아닌 패치는 신중해야 한다고 유저에게 경고하고 있다.

침입 검지 제품을 제공하고 있는 디터미너(Determina)는 3월 27일에 MS의 웹 브라우저용의 비공식 패치를 공개했다. 그 직전에는 eEye Digital Security도 독자적인 임시 패치를 발표했었다.

이 두 패치는 최근 밝혀진 IE의 취약성을 악용 하는 공격으로부터 윈도우 PC를 지키기 위한 것이다. 이 취약성에 대한 MS 패치는 아직 제공되고 있지 않다. MS는 양 사의 패치에 대해서 외부의 패치 프로그램을 인스톨 하는 것은 추천하지 않는 것이 규칙이라고 말하며 어느 쪽도 인정하지 않았다.

제삼자가 MS에 앞서 시큐리티 패치를 발표한 것은 2006년에 들어 이것이 두 번째이다. 첫 번째는 유럽의 연구자가 발표한 패치를 보안 전문가도 지지하고 있었다. 그런데 이번에는 전문가들이 비공식인 패치의 적용은 추천하지 않는다고 이야기하고 있다.

유저는 MS의 지시에 따라 IE의 「액티브 스크립팅(Active Scripting)」기능을 무효로 하거나 타사의 웹 브라우저를 사용하거나 해서 임시 대책을 세워야 한다는 것이 전문가들의 생각이다.

SANS Institute의 CRO(Chief Research Officer)인 요하네스 울리히(Johannes Ullrich)는 “현시점에서는 이러한 임시 패치를 적용하는 것은 추천 하고 있지 않다”고 말해 IE의 액티브 스크립팅 기능을 이용할 필요가 있는 경우에게만 비공식 솔루션의 채용을 검토하는 것이 좋다고 한다.

문제의 취약성은 IE가 웹페이지내의 「createTextRange()」라는 태그를 처리하는 방법과 관련된 것이다. 이 취약성이 발표된 것은 지난 주이지만 그 이후 이 취약성을 악용하는 웹 사이트가 200건 이상이나 발견되었다고 한다. 이러한 사이트는 통상 스파이웨어나 리모트 컨트롤 소프트웨어, 트로이목마 등을 취약한 PC에 인스톨 한다고 보안 업체 웹센스가 말했다.

독일의 Magdeburg 대학에 소속된 바이러스 보안 소프트웨어의 전문가 안드레아 막스(Andreas Marx)는 이번 IE의 시큐리티 문제가 미친 영향은 심각하지만 써드파티 패치는 필요없다고 한다. “개인적으로는 이 패치를 적용할 생각은 없다. IE를 사용하지 않으면 위험하지 않고, IE를 사용하는 경우에서도 액티브 스크립팅을 무효로 하면 된다”라고 한다. @