요즘 안티 바이러스 제품 군에서 취약점이 발견되는 경우가 많이 있는데 오늘은 트렌드 마이크로 사의 피시 실린 제품 등에서 취약점이 나타났습니다. 간단히 정리해서 알려 드립니다.


보안 서비스를 제공하고 있는 iDefense 社는 최근 트렌드 마이크로의 기업 및 개인 사용자 제품에 보안 취약점이 있다는 권고안을 발표했습니다. 트렌드 마이크로 안티 바이러스 제품에서 설치한 드라이버에 취약점이 있으며 이를 통해 로컬에서 공격 코드를 시스템 권한으로 실행할 수 있습니다.
사용자 삽입 이미지

드라이버는 Tmxpflt.sys로 \\.\Tmfilter 도스 디바이스 드라이버입니다. 하지만, 액세스 권한은 모든 사용자에게 쓰기 권한을 부여하고 있습니다. 이러한 권한의 취약점은 사용자가 입력하는 매개변수의 버퍼 크기가 제한되어 있어 이를 통해 버퍼 오버플로 공격이 가능합니다.

취약점이 발견된 드라이버는 8.320.1004/8.500.1002입니다. 이 드라이버를 사용하는 제품은 다음과 같습니다.
  • PC 실린 인터넷 시큐리티 2007
  • Client Server Messaging Security for SmB 3.6
  • Client Server Security for SMB 3.6
  • 오피스 스캔 7/8 (윈도우 용, 노벨 네트워크 5.58)
  • Server Protect (윈도우 용, 노벨 네트워크 5.58)
이 문제를 해결하기 위해서 트렌드 마이크로는 10월 30일 업데이트 서버에 스캔 엔진 8.550-1001을 출시할 계획입니다.

출처: http://www.heise-security.co.uk/news/98018

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    트렌드 마이크로(Trend Micro)에서 개발하여 판매하는 보안 제품에 취약점이 발견되어 사용자의 업데이트가 필요합니다.

    취약점이 있는 제품은 안티 바이러스 제품인 피시실린(PC-cillin), 안티 스파이웨어(Anti-Spyware)와 서버용 제품인 ServerProtect입니다.

    특히, ServerProtect는 서버를 전문적으로 설계된 안티 바이러스 제품입니다. 트렌드 마이크로의 보안 자료에 따르면 SpntSvc.exe라는 파일에 문제점이 있는데 RPC를 통해 익스플로잇이 가능하다고 합니다.

    익스플로잇 후에는 공격자가 원하는 코드를 실행할 수 있으며, 이 코드는 시스템 권한 하에서 실행되므로 매우 위험합니다. 그리고 익스플로잇 시도가 실패하더라도 서비스 거부 공격의 효과가 나타난다고 합니다.

    ServerProtect 5.58 Build 1176 및 하위 버전에서 이러한 문제점을 가지고 있습니다.

    그리고, Anti-Spyware와 PC-cillin에서도 버퍼 오버플로 취약점이 발견되었습니다. SSAPI 엔진의 'vstlib32.dll' 파일에 원인이 있으며 긴 경로 데이터를 입력하는 과정에서 발생합니다.

    Trend Micro Anti-Spyware 3.5 버전과 PC-cillin Internet Secuirty 2007에서 이러한 취약점이 발견됩니다.

    다행이 트렌드 마이크로는 문제점을 해결할 수 있는 핫픽스를 발표하였습니다.

    링크: ftp://conftpuser:consumer-trend@ftp-download.trendmicro.com.ph/consumer/Tools/Hotfix/pcc_2007_1530_win_en_ssapi_5_2_1028.exe
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory