오라클(Oracle)에서 패치를 내놓을 때까지 OS X 내에서 Java 7 플러그인 사용이 한시적으로 차단됩니다.
최근 Java 7에서 원격코드 실행이 가능한 취약점을 이용한 '제로데이(Zero-day)' 공격 코드가 유포되고 있고 실제로 이 취약점을 이용한 공격이 진행됨에 따라 미국 국토보안부(NHS)는 사용자들이 컴퓨터에서 Java를 비활성화하거나 삭제하라고 권고하고 있습니다.
애플도 이에 대한 조치로 지난 10일(현지시간) OS X 내에서 악성 코드와 취약점이 발견된 플러그인의 실행을 막는 일종의 '블랙리스트' Xprotect.plist'을 업데이트하고 Java 작동을 차단했습니다.
* 애플은 최근 증가하는 OS X 보안 위협에 대응하기 위해 맥이 하루에 한 차례 애플 서버에 접속해 특정 파일이나 소스의 작동을 막는 블랙리스트(XProtect.plist) 파일이 갱신되었는지 확인하고, 갱신되었으면 시스템에 자동으로 내려받는 체계를 몇년 전에 도입했습니다. 블랙리스트 파일의 위치는 아래와 같습니다.
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist
블랙리스트 파일에는 Java 7의 버전이 최소한 1.7.0_10-b19를 충족시켜야 OS X내에 Java가 활성화되도록 설정되어 있는데, 현재 대중에 공개된 Java 7의 버전이 1.7.0_10-b18에 머물고 있어 사실상 오라클이 패치를 내 놓지 않는 이상 OS X에서 Java 7 사용이 원적적으로 막혀 있는 셈입니다.
한편 브라우저 자체적으로 Java 엔진을 탑재하고 있는 파이어폭스(Firefox)도 지난 목요일에 있었던 보안 업데이트를 통해 Java 7 플러그인 사용이 차단되었습니다.
참조
• MacRumors /via ArsTechnica, AppleInsider