SRD 블로그에 올라온 MS09-048: TCP/IP vulnerabilities 글을 보니 이번 TCP/IP 스택의 원격 코드 실행 취약점(CVE-2009-1925)은 실제 익스플로잇 가능성이 얼마 안 되는 것으로 보입니다. 실제 공격을 하려면 아래와 같은 조건을 모두 만족시켜야 하기 때문입니다.

• 원격 코드 실행 취약점은 TCP 연결을 식별하는데 사용되는 해시 값을 함수 포인터로 해석하기 때문에 발생한 것입니다.
• 그런데 이 해시 값은 Toeplitz 해시 알고리즘으로 계산됩니다. 해시 알고리즘은 임의의 키값을 입력으로 받아들이는데, 이 값은 공격자에게 알려져 있지도 않고 외부에서 제어할 수 있는 값도 아니기 때문에 공격자는 해시 값을 원하는대로 제어할 수 없습니다.
• 따라서 이 해시 값이 함수 포인터로 해석되어 호출된다고 하더라도 공격자가 어느 주소가 호출될지 예상하기란 불가능합니다.
• 스프레이 기법을 이용해서 악성 페이로드로 커널 메모리를 가득 채운다면 어쩌다가 운 좋게 실행될 가능성은 있지만 이런 식으로는 안정적으로 공격하기가 어렵습니다.

그러나 엉뚱한 주소가 호출되면서 시스템이 충돌하도록 만들 수는 있습니다. 커널 영역에서 발생하는 버그 체크이므로 시스템 전체를 다운시킬 수 있습니다. 따라서 서비스 거부 공격을 당하지 않도록 확실하게 패치하거나 방화벽을 설정할 필요가 있습니다.