지난 11월 17일, 아더브에서는 Acrobat 및 Reader에서 발생할 수 있는 보안 취약점을 해결한 업데이트를 발표했습니다.

아래는 KrCERT/CC가 발표한 자료입니다.

□ 개요
   o Adobe社는 Adobe Reader/Acrobat에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1]
   o 공격자는 웹 페이지 은닉, 스팸 메일, 메신저의 링크 등을 통해 특수하게 조작된 PDF 문서를
      사용자가 열어보도록 유도하여 악성코드 유포 가능
   o 낮은 버전의 Adobe Reader/Acrobat 사용으로 악성코드 감염 등의 사고가 발생할 수 있으므로
      이용자의 주의 및 최신버전으로 업데이트 권고

□ 설명
   o Adobe社는 Adobe Reader/Acrobat의 취약점 2개에 대한 보안 업데이트를 발표함[1]
    - 메모리 손상으로 인한 DoS 공격과 코드실행 취약점 (CVE-2010-3654)[2]
    - 메모리 손상으로 인한 DoS 공격과 코드실행의 가능성이 있는 취약점 (CVE-2010-4091)[3]

□ 해당 시스템
   o 영향 받는 소프트웨어
     - 윈도우, 매킨토시, 유닉스 환경에서 동작하는 Adobe Reader 9.4 및 이전 버전
     - 윈도우, 매킨토시 환경에서 동작하는 Adobe Acrobat 9.4 및 이전 9.x 버전

□ 해결방안
   o Adobe Reader 9.4 및 이전버전 사용자는 9.4.1 버전으로 업데이트
     ※ 유닉스용 Adobe Reader 업데이트는 아직 발표되지 않았음
     - Adobe Reader의 메뉴에서 "도움말" → "업데이트 확인" 선택
     - Adobe 제품 업데이트 페이지에서 해당 소프트웨어를 선택 후 다운로드 및 설치[4]
   o Adobe Acrobat 9.4 및 이전 9.x 버전 사용자는 9.4.1 버전으로 업데이트
     - Adobe Acrobat의 메뉴에서 "도움말" → "업데이트 확인" 선택
     - Adobe 제품 업데이트 페이지에서 해당 소프트웨어를 선택 후 다운로드 및 설치[4]

□ 용어 정리
   o PDF(Portable Document Format) : Adobe社가 개발한 다양한 플랫폼을 지원하는 전자문서
      파일 형식
   o Adobe Acrobat : PDF 문서 편집/제작을 지원하는 상용 프로그램
   o Adobe Reader : PDF 문서의 편집 기능은 없이 보기/인쇄만 할 수 있는 무료 프로그램

□ 기타 문의사항
   o 유닉스용 Adobe Reader의 보안업데이트는 언제 발표되나요?
     - 해당 보안업데이트의 발표 일정은 11월 30일로 예정되어 있습니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.adobe.com/support/security/bulletins/apsb10-28.html
[2] http://www.krcert.or.kr/secureNoticeView.do?num=468&seq=-1
[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091
[4] http://www.adobe.com/downloads/updates/


감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인터넷 위협 중에서 가장 위험하다고 여겨지는 것이 바이러스가 아니라 아크로뱃 리더(Acrobat Reader)이다.  - from 문스랩닷컴


    아도브가 개발한 아크로뱃 리더는 아마도 가장 널리 사용되는 뷰어(viewer)이며, 외국에서는 거의 전자 문서의 표준 정도에 이를 정도입니다.

    최근 1-2년간에 아도브 리더/아크로뱃 제품에서 잇달아 취약점이 발견되고 있습니다. 그 중에서 가장 문제가 되는 부분이 바로 취약점을 이용하여 악성코드를 배포하는 바로 제로데이(0-day) 습성이기 때문입니다. 제로데이란 취약점이 알려진지 24시간 내에 이를 이용하는 악성코드가 출현한다는 것으로 그만큼 악성코드 제작자의 실력도 상향 평준화되었으며, 그에 반해 개발사나 보안 업체의 대응이 상대적으로 늦을 수 밖에 없다는 것을 말합니다.

    지난 9월 6일에는 아크로뱃 리더에 관련된 새로운 제로데이 취약점이 발견되어 알려졌습니다. 문제는 이 취약점을 이용하여 악성코드를 배포할 수 있는 실제 코드도 발표되었고, 취약점을 이용하여 교묘하게 조작된 PDF 문서를 첨부 파일로 넣은 스팸 메일이 실제로 발송되었다는 점입니다.

    문제가 발생한 아크로뱃 리더의 버전은 최신버전인 9.3.4까지 포함하는 것으로 알려져 있습니다. 또한 윈도우 운영체제 뿐만 아니라 매킨토스, 유닉스 운영체제까지 모든 제품에서 취약점이 발생합니다. 이 취약점은 CVE-2010-2883 이라고 명명되었으며, 이 취약점을 통해 해커는 피해자의 컴퓨터를 원격에서 조정할 수 있으며, 시스템을 손상시킬 수도 있습니다.

    아도브 사에서는 이 문제점의 심각성을 우려해서 인지 매우 빠르게 이에 대한 대응책을 발표했습니다.

    CVE-2010-2883에 대해 간략히 정리하면 다음과 같습니다.


    1. 취약점의 상세 내용

    cooltype.dll 파일의 0x0803dcf9 모듈에서 TTF 글꼴을 적절하게 파싱하지 못하는 문제점으로 인해 발생합니다. 이로 인해 DEP(Data Execution Protection, 데이터 실행 방지)까지 우회하는 것으로 알려져 있습니다.

    아크로뱃 리더에서는 AcroJS라는 자바스크립트가 사용되는데 이는 문서를 열 때 한번 실행되는 쉽게 말하면 자동실행 스크립트라고 보면 됩니다.



    2. 취약점을 이용하는 악성 코드 출현

    이 취약점을 이용하는 코드가 Metasploit Framework에서 발표되었으며, 이러한 발표로 인해 바이러스 및 스팸 제작자들이 쌍수를 들고 환영하고 있습니다.


    또한, 아래와 같이 악성 스크립트가 포함되어 있는 PDF 파일을 스팸 메일에 함께 보내어 감염을 시도하는 실제 사례도 많은 것으로 알려져 있습니다.

    <설명: 첨부에 포함된 PDF 문서>


    3. 아도브 사의 발표 내용

    아도브 사에서는 이 문제점에 대해 신속하게 권고안을 발표했습니다만, 아쉽게도 앞에서 설명했던 사항들을 나열하는 수준에 불과했습니다. 이 취약점은 심각성이 치명적(Critical)하다고 분류했으며, 현재 문제점을 해결하는 업데이트를 발표할 일정을 조율 중에 있다고 합니다.


    아크로뱃 리더는 계속 기능을 확장해 나가고 있습니다. 하지만, 그 기능에 맞게 그 만큼의 보안에 대해 충분한 검토가 없어 이와 같은 문제점이 나타나고 있습니다. 자바스크립트가 실행되는 한, 이러한 문제점은 계속 나올 것입니다.

    아마도 나중에는 샌드박스(Sandbox)와 같은 기능이 아크로뱃 리더 내에 포함될지도 모릅니다.

    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 외국의 한 해커가 PDF의 자체적인 구조로도 해킹이 가능하다는 시범(Poc, Proof of Concept)의 동영상을 인터넷에 공개했습니다.

      동영상을 보면, 아크로뱃 리더에서 특정한(공격할 수 있는) 명령어를 실행할 수 있는 것으로 만약 해커가 이를 악용한다면, 시한폭탄(!)이 될 수 있는 민감한 사안입니다.


      출처: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        아크로뱃의 제작사인 어도비(Adobe)는 자사 블로그에 보안에 관련된 사항을 간단히 게시하였습니다. 내용을 요약하자면

        어도비 社는 아크로뱃 리더, 아크로뱃 9.1.2(최신 버전임), 플래시 플레이어 9, 10 버전에서 잠재적인 취약점에 대한 사항을 확인 중에 있으며, 수집된 정보를 이용하여 업데이트를 제공할 예정입니다.

        원문: http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

        외국의 보안 사이트에 따르면, PDF 문서에 임베드된 플래시에서 취약점이 있는 것으로 알려 지고 있으며, 지난 수요일에 트위터(단문 기반의 서비스)의 트윗(게시 글)에 제로데이 웜이 출현한 것으로 알려지고 있습니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory