반응형
지난 8월 24일(금요일) 변조 된 사이트 악성 스크립트에 새로운 Jar 파일이 삽입 된 내용을 확인했다.
그로 이틀 후 8월 26일 미국 보안업체인 FireEye 블로그에서 자바 JRE(Java Runtime Environment)에서 새로운 신규 취약점을
발견되었다고 공개하였다.
해당 취약점은 CVE-2012-4681로 지정되었으며, sun.awt.SunToolkit 내부함수의 getField 메소드를 통해
JAVA 서명코드를 확인하지 않고 코드를 실행할 수 있는 취약점이다.
좀 더 자세항 사항들은 아래의 링크에서 확인 할 수 있다!!
국내에 첫 발견 된 사례는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로
난독화 되어 작성되어 있었다.
다운로드 되는 LYWP0.jpg 파일은 확장자만 다른 Jar 파일이다.
해당 파일은 Gondvv.class 와 Gondzz.class 클래스로 이루어져 있으며, 취약점 동작 시 특정 exe 파일을 다운로드 시킨다.
다운로드 된 exe 파일은 알약에서 Trojan.Dropper.OnlineGames.pip 로 탐지 되고 있다.
현재 해당 취약점은 보안패치가 없는 제로데이(0-Day) 이므로 사용자는 인터넷 사용시 유의 해야 하며,
아래의 수동적인 방법으로 취약점을 우회 할 수는 있으니, 참고하시기 바람!!
<브라우저 별 자바 애플릿 보안기능 설정 방법>
- MS Internet Explorer
[도구]-[인터넷 옵션]-[보안]-[사용자 지정 수준]-[스크립팅]-[Java 애플릿 스크립팅]을 "사용 안 함"으로 선택
- Mozilla Firefox
[도구]-[부가 기능]-[플러그인]-[Java(TM) Platform SE]을 "사용 안 함" 으로 선택
- Google Chrome
[도구]-[설정]-[고급]-[컨텐츠설정]-[플러그인] ? 개별 플러그인 사용 중지 선택 후 Java 사용 중지
'취약점소식' 카테고리의 다른 글
| [MS] Internet Explorer 원격코드 실행 신규 취약점 주의 권고(0-Day : CVE-2012-4969) (2) | 2012.09.18 |
|---|---|
| [Oracle Java] 오라클 자바 JRE 신규취약점 0-Day(CVE-2012-4681) 보안 업데이트 공개!! (0) | 2012.08.31 |
| [Adobe] Security updates available for Adobe Flash Player (0) | 2012.08.29 |
| 이스트소프트(ESTsoft), 알마인드(ALMind) DLL 하이재킹 취약점 보안 업데이트 (0) | 2012.08.02 |
| ipTIME 공유기 취약점으로 인한 루트권한 획득 주의!! (2) | 2012.07.17 |
댓글