지난 9월 10일 경에 아도브 사가 개발하여 무료로 제공하는 리더 프로그램에서 제로데이 취약점이 발견되었으며, 실제로 이 공격 방식을 이용하는 사례가 매우 많이 발생하고 있습니다.

하지만, 아도브 측에서는 아직까지 해결책이나 보안 패치를 제공하지 못하고 있으며 10월 4일 경에 보안 패치가 발표될 예정입니다. 이에 대한 사항은 아래 링크를 참고하십시오.



그런데 외국의 RamzAfzar라는 모의 해킹 회사에서 제로데이 취약점에 대한 해결책을 제시하고 있어 소개합니다.

이 취약점은 cooltype.dll 파일에서 strcat()함수에서 문자열의 길이와 매개변수를 제대로 검증 및 처리하지 못해서 발생하는 것으로 디버깅을 통해 알 수 있습니다.

0803DDAB E8 483D1300 CALL JMP.&MSVCR80.strcat

따라서, 이진 파일의 여유 부분에 strncat() 함수를 삽입하고 문자열을 검증하는 루틴을 추가하는 역어셈블링 기법을 통해 문제점을 해결했다고 주장하고 있습니다.

이 파일은 아래 링크에서 다운로드하여 설치할 수 있습니다.

주의: 본 패치는 비공식적인 것이므로, 해당 파일을 이용하여 문제가 발생할 가능성이 있스므로, 사용자가 전적으로 책임져야 합니다. 위 파일은 v9.3.4 버전용입니다.

감사합니다.

출처: http://www.rafzar.com/node/22
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    최근 아도브 아크로뱃/리더에서 보안상 매우 치명적인 취약점이 발견되어 문제가 되고 있습니다. 이 취약점이 공개되면서 이를 이용하는 악성 코드로 인해 약 1만대 이상이 공격당했으며, 설상 가상으로 며칠 전에 공개한 보안 패치로도 완벽하게 해결되지 않은 상태입니다.

    외국의 보안 업체인 소포스(Sophos)의 보안 전문가는 아크로뱃의 버전을 확인하여 패치되지 않은 시스템인 경우에는 악성 프로그램을 다운로드하는 새로운 형태의 악성 프로그램을 소개했습니다.


    공격의 형태는 교묘하게 조작된 PDF 문서를 이용하여 아크로뱃 리더 또는 서비스의 버전을 확인합니다. 만약 CVE-2008-2992, CVE-2009-0927, CVE-2009-4324, CVE2007-5659 취약점을 가진 아도브 리더, 아크로뱃 v9.0x, 8.1.2, 7.1.0 이하 버전인 경우에 공격을 당하게 되지만 다행이도 최신 버전은 아니기 때문에 그리 큰 피해가 나지는 않을 것으로 예상됩니다.

    취약점이 있는 경우에는 브라우저에서 특정한 URL로 이동하여 페이로드를 다운로드한 후에 마지막으로는 구글 사이트로 이동합니다.

    PDF 취약점의 문제는 두고두고 계속될 것으로 보이며, 이번과 같이 한층 더 발전한 공격 기법으로 인해 보안 업체의 고민이 더욱 늘어날 것입니다.

    감사합니다.

    출처: http://www.sophos.com/blogs/chetw/g/2010/06/30/pdf-java-malware-target-unpatched-pcs/

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      제로데이 취약점으로 요즘 말많은 아도브(Adobe)에서 아크로뱃/리더의 패치를 발표했습니다. 이번 발표에서는 지금까지 알려져 있던 취약점 가운데 17가지를 해결한 것으로 윈도우, 매킨토시, 유닉스 운영체제까지 모두 포함합니다.

      특히, 보안 전문가인 Didier Stevens이 발견한 /Launch 기능에 대한 보안을 강화한 것으로 알려져 있습니다. 참고로, 이 취약점은 아무런 보안 취약점이 없는 상태에서도 PDF 문서 내에 숨겨진 실행파일을 실행할 수 있는 취약점으로, 거의 보안상 무한의 자유를 주는 문제점으로 볼 수 있습니다.

      패치에 대한 자세한 사항은 아래 링크를 참고하십시오.


      감사합니다.


      PS: Didier Stevens는 자신의 블로그에서 해당 취약점을 이용하는 공격을 시연한 동영상을 공개해서 소개합니다.


      출처: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory