Office 2007 infosec 연구원은 주요 버그 발표가 오탐으로 밝혀진 후 당황했다고 회상합니다

번역기만 돌린 기계 번역으로 오역이 많을 수 있으며 자세한 내용은 원문을 참고하세요.

Office 2007 infosec 연구원은 주요 버그 발표가 오탐으로 밝혀진 후 당황했다고 회상합니다

Laughing Mantis라는 이름을 사용하는 Greg Linares는 X 에 대해 자신과 팀원들이 Office 2007의 주요 제로데이 취약점을 발표했지만 그것이 자신들의 실수였다는 사실을 알게 된 재미있는 이야기를 공유했습니다. 평판과 직업, 심지어 사업까지 보호하기 위해 그들은 진짜 버그를 찾기 위해 안간힘을 써야 했습니다. Linares가 디지털 보안 회사인 eEye와 협력하면서 새로운 Microsoft Office 제품군의 취약점을 테스트하고 있던 2006년 말에 이런 일이 발생했습니다 .

eEye는 위협 관리 분야의 선도적인 기관 중 하나이기 때문에 당시 가장 널리 사용되는 기업 소프트웨어 제품군 중 하나의 최신 버전에 제로데이 결함이 있는지 확인하는 것이 회사의 임무였습니다 . 출시 후 36시간 이내에 Linares는 Word가 오래된 Word Art 구조를 Office 2007의 현대적인 구조로 변환하는 데 사용하는 Word Art 변환 기능에서 버그를 발견했습니다.

그는 이 발견을 그의 선배인 Marc Maiffret(현재 2012년에 eEye를 인수한 회사인 BeyondTrust의 CTO)에게 보냈고, 그는 Linares의 발견에 동의하고 이를 Microsoft 보안 대응 센터(MSRC)로 보냈습니다. 동시에 eEye는 버그에 대한 여러 보도 자료를 발표했으며 일부 주요 언론 매체에서는 eEye의 발표를 바탕으로 해당 내용을 다루었습니다.

이런, 거짓양성(false positive)입니다.

PR 릴리스와 광범위한 뉴스 보도 직후 Office 2007에서 작업한 주요 보안 전문가 중 한 명인 David LeBlanc은 프로그램에 디버거가 연결되어 있을 때만 버그를 악용할 수 있다는 사실을 발견했습니다. 이는 거의 모든 평균 수준입니다. 사용자는 제품군을 일상적으로 사용할 수 없고 작업하지도 않을 것입니다. LeBlanc은 "그 충돌에 대해서는... 디버거가 연결된 경우에만 악용할 수 있습니다."라고 말했습니다. 이는 Greg Linares의 발견이 거짓 긍정이라는 것을 의미하므로 eEye는 발표를 철회해야 했습니다. 아니면 아닐 수도 있나요?

Greg는 eEye에 입사한 지 채 두 달도 되지 않았으며 자신의 실수로 인해 회사의 평판이 훼손될 수 있다는 사실에 절망감을 느꼈습니다. eEye가 Microsoft Office의 제로데이 취약점 발견을 취소해야 한다면 회사에서 Linares의 업무도 도마 위에 놓일 가능성이 높습니다.

그러나 Marc은 다른 생각을 가지고 있었습니다. 그는 보도 자료를 철회하는 대신 연구팀에게 최대한 빨리 Office 2007에서 새로운 제로데이 버그를 찾아내라고 말했습니다. 그 동안 eEye는 MSRC에 팀이 잘못된 파일을 보냈으며 곧 업데이트를 제공할 것이라고 말하면서 시간을 보냈습니다.