윈도우 2000, 보안 결점

2월 17일에 정식으로 출시될 예정인 마이크로소프트의 윈도우 2000이 출시되기도 이전에 보안 관련 버그가
발견되고 이에 대한 패치가 발표되었다.

지난 수요일에 발표된 이 패치는 MS Index Server의 2개의 보안 버그를 수정하는 것으로 이 버그로 인해서
해커들이 웹 서버의 파일을 볼 수 있다는 것이다. Index Server는 윈도우 NT 4.0의 애드온으로서 윈도우 2000에
내장되어 있다. 인덱스 서버는 개발자들에게 Active Scripting과 쿼리 관리 능력을 가지고 있다.

"Malformed Hit-Hightlighting Argument Vulnerability"라 명명된 이 2개의 보안 문제는 Cerberus Information
Security의 David Litchfield에 의해서 발견되어서 즉각 마이크로소프트에 보고되었다고 한다. 이 버그로 인해서
해커가 웹 서버에 저장된 파일을 볼 수 있으며 이것은 해커가 웹 서버에 저장된 각종 인물에 대한 정보나 신용
카드의 정보까지 빼낼 수 있다는 것에서 중대한 결함이라고 한다.

현재 6개의 은행과 3개의 주요 컴퓨터 업체가 이 버그에 영향을 받은 것으로 알려져 있다. 문제는 운영체제
상에서 인텍스 서버가 디폴트로 동작하고 있어서, 대부분의 사람들이 이 상황을 모르고 있다는 것이라고 한다.
MS가 경고를 해도, 대부분의 사람들이 자신에게는 해당되지 않는 일이라고 생각할 것이 문제라고 Litchfield는
지적했다.

두 개의 버그중 두 번째는 침입자가 목표 네트워크에 관련된 정보를 볼 수 있도록 하는 것으로 상대적으로 큰
문제는 아니라고 한다. 몇몇 전문가들은 이 문제가 지난 몇 달간 지속적으로 논의되어 왔었다고 주장하고 있고,
단지 마이크로소프트만이 지난 2주만에 이 사실을 알게 되었다고 주장하고 있다.

이 두 버그들은 너무 늦게 발견되어서 이미 출고중인 윈도우 2000에 반영되지 않고 있다고 한다. 이 버그들이
본격적으로 알려진 것은 1월 중순이고 이미 12월 15일부터 각 OEM 들에게 윈도우 2000은 배포되기 시작했었다.