'제로데이'에 해당되는 글 57건




마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2015년 9월 정기 보안 업데이트가 발표 되었습니다.


이번 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Lync, 

Microsoft SharePoint Foundation, Microsoft .NET Framework, Microsoft Exchange Server, 비즈니스용 Skype 서버, 

Microsoft Lync Server 제품군에서 발견된 안취약점(55건)을 해결한 12건의 보안 패치(긴급 4, 중요 8)로 이루어져 있습니다.




※ 최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.


※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS15-094 (긴급) : Internet Explorer용 누적 보안 업데이트(3089548)

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 

- 다양한 메모리 손상 취약성:

  CVE-2015-2485, CVE-2015-2486, CVE-2015-2487, CVE-2015-2490, CVE-2015-2491

  CVE-2015-2492, CVE-2015-2494, CVE-2015-2498, CVE-2015-2499, CVE-2015-2500

  CVE-2015-2501, CVE-2015-2541, CVE-2015-2542


2. MS15-095 (긴급) : Microsoft Edge용 누적 보안 업데이트(3089665)  

이 보안 업데이트는 Microsoft Edge의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Microsoft Edge를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 

- 다양한 메모리 손상 취약성:

  CVE-2015-2485, CVE-2015-2486, CVE-2015-2494, CVE-2015-2542


3. MS15-096 (중요) : Active Directory 서비스의 취약성으로 인한 서비스 거부 문제(3072595)

이 보안 업데이트는 Active Directory의 취약성을 해결합니다. 이 취약성으로 인해 인증된 공격자가 여러 컴퓨터 계정을 만드는 경우 서비스 거부가 허용될 수 있습니다. 이 취약성을 악용하려면 공격자가 도메인에 컴퓨터를 가입시킬 권한이 있는 계정을 가지고 있어야 합니다. 

- Active Directory 서비스 거부 취약성(CVE-2015-2535)


4. MS15-097 (긴급) : Microsoft 그래픽 구성 요소의 취약성으로 인한 원격 코드 실행 문제(3089656)

이 보안 업데이트는 Microsoft Windows, Microsoft Office 및 Microsoft Lync의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 문서를 열거나 포함된 OpenType 글꼴이 있는 신뢰할 수 없는 웹 페이지를 방문하는 경우 원격 코드 실행을 허용할 수 있습니다. 

- OpenType 글꼴 구문 분석 취약성(CVE-2015-2506)

- 다양한 글꼴 드라이버 권한 상승 취약성:

  CVE-2015-2507, CVE-2015-2508, CVE-2015-2512


5. MS15-098 (긴급) : Windows 필기장의 취약성으로 인한 원격 코드 실행 문제(3089669)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중 보다 심각한 취약성은 사용자가 특수 제작된 필기장 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다.

- 다양한 Windows 필기장 RCE 취약성:

  CVE-2015-2513, CVE-2015-2514, CVE-2015-2519, CVE-2015-2530


6. MS15-099 (긴급) : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3089664)

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다.

- 다양한 Microsoft Office 메모리 손상 취약성:

  CVE-2015-2520, CVE-2015-2521, CVE-2015-2523

- Microsoft SharePoint XSS 스푸핑 취약성(CVE-2015-2522)

- Microsoft Office 잘못된 형식의 EPS 파일 취약성(CVE-2015-2545)


7. MS15-100 (중요) : Windows Media Center의 취약성으로 인한 원격 코드 실행 문제(3087918) 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Windows Media Center가 악성 코드를 참조하는 특수 제작된 Media Center 링크(.mcl) 파일을 여는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다.

- Windows Media Center RCE 취약성(CVE-2015-2509)


8. MS15-101 (중요) : .NET Framework의 취약성으로 인한 권한 상승 문제(3089662)

이 보안 업데이트는 Microsoft .NET Framework의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 .NET 응용 프로그램을 실행할 경우 권한 상승을 허용할 수 있습니다. 하지만 어떠한 경우에도 공격자는 강제로 사용자가 이 응용 프로그램을 실행하도록 만들 수 없습니다. 공격자는 사용자가 이렇게 하도록 유도해야 합니다. 

- .NET 권한 상승 취약성(CVE-2015-2504)

- MVC 서비스 거부 취약성(CVE-2015-2526)


9. MS15-102 (중요) : Windows 작업 관리의 취약성으로 인한 권한 상승 문제(3089657)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다.

이 보안 업데이트는 Windows가 가장 이벤트에 대한 유효성을 검사하는 방식 및 작업 스케줄러가 파일 시스템 상호 작용을 확인하는 방식을 수정하여 취약성을 해결합니다.

- Windows 작업 관리 권한 상승 취약성(CVE-2015-2524)

- Windows 작업 파일 삭제 권한 상승 취약성(CVE-2015-2525)

- Windows 작업 관리 권한 상승 취약성(CVE-2015-2528)


10. MS15-103 (중요) : Microsoft Exchange Server의 취약성으로 인한 정보 유출 문제(3089250)

이 보안 업데이트는 Microsoft Exchange Server의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 OWA(Outlook Web Access )가 적절히 웹 요청을 처리하고 사용자 입력 및 전자 메일 콘텐츠를 삭제하지 못하는 경우 정보 유출을 허용할 수 있습니다. 

이 보안 업데이트는 Microsoft Exchange OWA가 웹 요청을 처리하는 방식을 수정하고 OWA가 제대로 사용자 입력 및 전자 메일 콘텐츠를 삭제하도록 하여 취약성을 해결합니다.

- Exchange 정보 유출 취약성(CVE-2015-2505)

- 다양한 Exchange 스푸핑 취약성: CVE-2015-2543, CVE-2015-2544


11. MS15-104 (중요) : 비즈니스용 Skype 서버 및 Lync Server의 취약성으로 인한 권한 상승 문제(3089952)

이 보안 업데이트는 비즈니스용 Skype 서버 및 Microsoft Lync Server의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 URL을 클릭할 경우 권한 상승을 허용할 수 있습니다. 공격자는 특수 제작된 URL을 통해 사용자를 영향받는 웹 사이트로 유인하는 인스턴트 메신저 또는 전자 메일 메시지의 링크를 클릭하도록 유도해야 합니다.

이 보안 업데이트는 비즈니스용 Skype 서버 및 Lync Server의 jQuery를 업데이트하여 사용자 입력을 제대로 삭제하고 비즈니스용 Skype 서버 및 Lync Server가 사용자 입력을 삭제하는 방식을 수정하여 취약성을 해결합니다.

- 비즈니스용 Skype 서버 및 Lync Server XSS 정보 유출 취약성(CVE-2015-2531)

- Lync Server XSS 정보 유출 취약성(CVE-2015-2532)

- 비즈니스용 Skype 서버 및 Lync Server XSS 권한 상승 취약성(CVE-2015-2536)


12. MS15-105 (중요) : Windows Hyper-V의 취약성으로 인한 보안 기능 우회 문제(3091287)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 Windows Hyper-V에서 부적절하게 ACL(액세스 제어 목록) 구성 설정을 적용하게 할 수 있는 특수 제작된 응용 프로그램을 실행하는 경우 이 취약성으로 인해 보안 기능 우회가 허용될 수 있습니다. Hyper-V 역할을 사용하지 않는 고객은 영향을 받지 않습니다.

이 보안 업데이트는 Hyper-V가 ACL 구성 설정을 적용하는 방식을 수정하여 취약성을 해결합니다.

- Hyper-V 보안 기능 우회 취약성(CVE-2015-2534)





블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



2015년 7월 21일 마이크로소프트의 긴급 업데이트가 발표되었다.


긴급 업데이트 내용은 이번달 2015년 7월 정기 보안 업데이트에서 발표 된 MS15-077(KB3077657)에 보강 된 

긴급 보안 업데이트이다.


특히 MS15-078 보안패치에 대한 제로데이(0-Day) 보안 취약점(CVE-2015-2426)에 대한 악성코드도 활동 중이니

꼭 긴급 업데이트를 받길 바란다.

(그 놈의 Hacking Team 때문에 나라가 시끄럽다 ㅅㅂㄴㄷ!!!)


※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

이 보안 업데이트는 Microsoft Windows 의 취약성을 해결합니다. 이 취약성은 만일 사용자가 특수하게 조작된 문서를 열거나 또는 임베디드 오픈 타입 폰트가 포함된 신뢰할 수 없는 웹페이지를 방문할 경우 원격 코드를 실행시킬 수 있습니다. 

이 보안 업데이트는 Windows Adobe Type Manager(ATM) 라이브러리가 오픈 타입 폰트를 처리하는 방식을 수정하여 취약성을 해결합니다.

영향을 받는 소프트웨어:
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
- Windows 8
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT
- Windows RT 8.1
- Server Core 설치

취약점 : 
- OpenType Font Driver Vulnerability (CVE-2015-2426)


 
※ 악성코드가 확인 된 보안 업데이트이기 때문에 꼭 패치하시길 바란다!!




블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2015년 7월 정기 보안 업데이트가 발표 되었습니다.


이번 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft SQL Server, Microsoft Office 제품군에서 

발견된 보안취약점(59건)을 해결한 14건의 보안 패치(긴급 4, 중요 10)로 이루어져 있습니다.



※ 최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS15-058 (중요) : SQL Server의 취약성으로 인한 원격 코드 실행 문제(3065718)

이 보안 업데이트는 Microsoft SQL Server의 취약성을 해결합니다. 가장 심각한 취약성은 인증된 공격자가 잘못된 주소에서 가상 함수를 실행하도록 디자인된 특수 제작된 쿼리를 실행하는 경우 원격 코드 실행을 허용할 수 있고, 초기화되지 않은 메모리에 대한 함수 호출로 이어질 수 있습니다. 이 취약성을 악용하려면 공격자에게 데이터베이스를 만들거나 수정하는 권한이 필요합니다.

- SQL Server의 권한 상승 취약점 (CVE-2015-1761)

- SQL Server의 원격 코드 실행 취약점 (CVE-2015-1762)

- SQL Server의 원격 코드 실행 취약점 (CVE-2015-1763)


2. MS15-065 (긴급) : Internet Explorer용 보안 업데이트(3076321)

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- VBScript 메모리 손상 취약성(CVE-2015-2372)

- Internet Explorer XSS 필터 우회 취약성(CVE-2015-2398)

- Internet Explorer 권한 상승 취약성(CVE-2015-2405)

- JScript9 메모리 손상 취약성(CVE-2015-2419)

- Internet Explorer ASLR 우회(CVE-2015-2421)

- 다양한 Internet Explorer의 메모리 손상 취약성:

  CVE-2015-1733, CVE-2015-1738, CVE-2015-1767, CVE-2015-2383, CVE-2015-2384

  CVE-2015-2385, CVE-2015-2388, CVE-2015-2389, CVE-2015-2390, CVE-2015-2391

  CVE-2015-2397, CVE-2015-2401, CVE-2015-2403, CVE-2015-2404, CVE-2015-2406

  CVE-2015-2408, CVE-2015-2411, CVE-2015-2422, CVE-2015-2425

- 다양한 Internet Explorer 정보 유출 취약성:

  CVE-2015-1729, CVE-2015-2410, CVE-2015-2412, CVE-2015-2413, CVE-2015-2414


3. MS15-066 (긴급) : VBScript 스크립팅 엔진의 취약성으로 인한 원격 코드 실행 문제(3072604)

이 보안 업데이트는 Microsoft Windows의 VBScript 스크립팅 엔진의 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

- VBScript 메모리 손상 취약성(CVE-2015-2372)


4. MS15-067 (긴급) : RDP의 취약성으로 인한 원격 코드 실행 문제(3073094)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 RDP(원격 데스크톱 프로토콜)가 사용되는 대상 시스템에 특수 제작된 패킷 시퀀스를 보내는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 기본적으로 RDP는 모든 Windows 운영 체제에서 사용되도록 설정되지 않습니다. RDP가 사용되지 않는 시스템은 취약하지 않습니다.

- RDP(원격 데스크톱 프로토콜) 원격 코드 실행 취약성(CVE-2015-2373)


5. MS15-068 (긴급) : Windows Hyper-V의 취약성으로 인한 원격 코드 실행 문제(3072000)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Hyper-V가 호스트하는 게스트 가상 컴퓨터에서 인증되고 권한을 가진 사용자가 특수 제작된 응용 프로그램을 실행하는 경우 이 취약성으로 인해 호스트 컨텍스트에서 원격 코드 실행이 허용될 수 있습니다. 공격자는 이 취약성을 악용하기 위해 게스트 가상 컴퓨터에 대한 유효한 로그온 자격 증명이 있어야 합니다.

- Hyper-V 버퍼 오버플로 취약성(CVE-2015-2361)

- Hyper-V 시스템 데이터 구조 취약성(CVE-2015-2362)


6. MS15-069 (중요) : Windows의 취약성으로 인한 원격 코드 실행 문제(3072631)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 특수 제작된 DLL(동적 연결 라이브러리) 파일을 대상 사용자의 현재 작업 디렉터리에 먼저 넣은 다음 사용자에게 신뢰할 수 있는 DLL 파일을 로드하는 대신 공격자의 특수 제작된 DLL 파일을 로드하도록 디자인된 프로그램을 실행하거나 RTF 파일을 열도록 유도하는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

- Windows DLL 원격 코드 실행 취약성(CVE-2015-2368)

- DLL 플랜팅 원격 코드 실행 취약성(CVE-2015-2369)


7. MS15-070 (중요) : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3072620)

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- Microsoft Office 메모리 손상 취약성(CVE-2015-2376)

- Microsoft Office 메모리 손상 취약성(CVE-2015-2377)

- Microsoft Office 메모리 손상 취약성(CVE-2015-2379)

- Microsoft Office 메모리 손상 취약성(CVE-2015-2380)

- Microsoft Office 메모리 손상 취약성(CVE-2015-2415)

- Microsoft Office 원격 코드 실행 취약성(CVE-2015-2424)

- Microsoft Excel ASLR 우회 취약성(CVE-2015-2375)

- Microsoft Excel DLL 원격 코드 실행 취약성(CVE-2015-2378)


8. MS15-071 (중요) : Netlogon의 취약성으로 인한 권한 상승 문제(3068457)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 대상 네트워크의 PDC(주 도메인 컨트롤러)에 대한 액세스 권한을 가진 공격자가 특수 제작된 응용 프로그램을 실행하여 BDC(백업 도메인 컨트롤러)로 PDC에 대한 보안 채널을 설정하는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다.

- Netlogon의 권한 상승 취약성(CVE-2015-2374)


9. MS15-072 (중요) : Windows 그래픽 구성 요소의 취약성으로 인한 권한 상승 문제(3069392)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Windows 그래픽 구성 요소가 비트맵 변환을 제대로 처리하지 못하는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 인증된 공격자는 대상 시스템에서 권한을 상승시킬 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 관리자 권한이 있는 새 계정을 만들 수 있습니다. 공격자는 이 취약성을 악용하기 위해 먼저 시스템에 로그온해야 합니다.

- 그래픽 구성 요소 EOP 취약성(CVE-2015-2364)


10. MS15-073 (중요) : Windows 커널 모드 드라이버의 취약성으로 인한 권한 상승 문제(3070102)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 영향받는 시스템에 로그온한 후 특수 제작된 응용 프로그램을 실행하는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다.

- Win32k 권한 상승 취약성(CVE-2015-2363)

- Win32k 권한 상승 취약성(CVE-2015-2365)

- Win32k 권한 상승 취약성(CVE-2015-2366)

- Win32k 정보 유출 취약성(CVE-2015-2367)

- Win32k 정보 유출 취약성(CVE-2015-2381)

- Win32k 정보 유출 취약성(CVE-2015-2382)


11. MS15-074 (중요) : Windows Installer 서비스의 취약성으로 인한 권한 상승 문제(3072630)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Windows Installer 서비스가 부적절하게 사용자 지정 작업 스크립트를 실행하는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성을 악용하기 위해 공격자는 대상 시스템에 로그온한 사용자를 먼저 손상시켜야 합니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 관리자 권한이 있는 새 계정을 만들 수 있습니다.

- Windows Installer EoP 취약성(CVE-2015-2371)


12. MS15-075 (중요) : OLE의 취약성으로 인한 권한 상승 문제(3072633)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성은 Internet Explorer를 통해 임의의 코드가 실행될 수 있는 또 다른 취약성과 결합하여 사용하는 경우 권한 상승을 허용할 수 있습니다. 다른 취약성이 악용되면, 공격자는 이 공지에서 해결된 취약성을 악용해 임의의 코드가 중간 무결성 수준에서 실행되도록 할 수 있습니다.

- 다양한 OLE 권한 상승 취약성:

  CVE-2015-2416, CVE-2015-2417


13. MS15-076 (중요) : Windows 원격 프로시저 호출의 취약성으로 인한 권한 상승 문제(3067505)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 영향받는 시스템에 로그온한 후 특수 제작된 응용 프로그램을 실행하는 경우 Windows RPC(원격 프로시저 호출) 인증에 존재하는 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 경우 공격자는 영향받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

- Windows RPC 권한 상승 취약성(CVE-2015-2370)


14. MS15-077 (중요) : ATM Font Driver의 취약성으로 인한 권한 상승 문제(3077657)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 대상 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행하는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이러한 취약성을 악의적으로 이용하는 공격자는 임의 코드를 실행하고 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

- ATMFD.DLL 메모리 손상 취약성(CVE-2015-2387)





블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2015년 6월 정기 보안 업데이트가 발표 되었습니다.


이번 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft Exchange Server 제품군에서 

발견된 보안취약점(45건)을 해결한 8건의 보안 패치(긴급2, 중요6)로 이루어져 있습니다.


※ 최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS15-056 (긴급) : Internet Explorer용 누적 보안 업데이트(3058515)

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- Internet Explorer 정보 유출 취약성(CVE-2015-1765)

- 다양한 권한 상승 취약성:

  CVE-2015-1739, CVE-2015-1743, CVE-2015-1748

- 다양한 Internet Explorer의 메모리 손상 취약성:

  CVE-2015-1687, CVE-2015-1730, CVE-2015-1731, CVE-2015-1732, CVE-2015-1735

  CVE-2015-1736, CVE-2015-1737, CVE-2015-1740, CVE-2015-1741, CVE-2015-1742

  CVE-2015-1744, CVE-2015-1745, CVE-2015-1747, CVE-2015-1750, CVE-2015-1751

  CVE-2015-1752, CVE-2015-1753, CVE-2015-1754, CVE-2015-1755, CVE-2015-1766



2. MS15-057 (긴급) : Windows Media Player의 취약성으로 인한 원격 코드 실행 문제(3033890)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 Windows Media Player가 악의적인 웹 사이트에서 호스트되는 특수 제작된 미디어 콘텐츠를 여는 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약성을 악의적으로 이용하는 공격자는 영향받는 시스템을 원격으로 완전히 제어할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.

- DataObject를 통한 Windows Media Player RCE 취약성 - CVE-2015-1728


3. MS15-059 (중요) : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3064949)

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 Microsoft Office 초기화되지 않은 메모리 사용 취약성(CVE-2015-1770)

- 다양한 Microsoft Office 메모리 손상 취약성:

  CVE-2015-1759, CVE-2015-1760


4. MS15-060 (중요) : Microsoft 공용 컨트롤의 취약성으로 인한 원격 코드 실행 문제(3059317)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 사용자가 특수 제작된 링크나 특수 제작된 콘텐츠의 링크를 클릭한 다음 Internet Explorer에서 F12 개발자 도구를 호출하는 경우 이러한 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다

- Microsoft 공용 컨트롤 해제 후 사용 취약성(CVE-2015-1756)


5. MS15-061 (중요) : Windows 커널 모드 드라이버의 취약성으로 인한 권한 상승 문제(3057839)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 공격자가 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행할 경우 권한 상승을 허용할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

- Microsoft Windows 커널 정보 유출 취약성(CVE-2015-1719)

- Microsoft Windows 커널 해제 후 사용 취약성(CVE-2015-1720)

- Win32k Null 포인터 역참조 취약성(CVE-2015-1721)

- 다양한 Microsoft Windows 커널 취약성:

  CVE-2015-1722, CVE-2015-1723, CVE-2015-1724, CVE-2015-1726

- 다양한 Windows 커널 버퍼 오버플로 취약성:

  CVE-2015-1725, CVE-2015-1727

- 다양한 Win32k 메모리 손상 권한 상승 취약성:

  CVE-2015-1768, CVE-2015-2360


6. MS15-062 (중요) : Active Directory Federation Services의 취약성으로 인한 권한 상승 문제(3062577)

이 보안 업데이트는 Microsoft AD FS(Active Directory Federation Services)의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 특수 제작된 URL을 대상 사이트에 제출하는 경우 권한 상승이 허용될 수 있습니다. 특정 상황에서 이 취약성으로 인해, 특수 제작된 스크립트가 적절하게 삭제되지 않으며, 공격자가 제공하는 스크립트가 악성 콘텐츠를 보는 사용자의 보안 컨텍스트에서 실행되는 결과로 이어질 수 있습니다. 이 취약성을 이용한 교차 사이트 스크립팅 공격의 경우 사용자가 손상된 사이트를 방문해야 악의적인 동작이 발생합니다.

- ADFS XSS 권한 상승 취약성(CVE-2015-1757)


7. MS15-063 (중요) : Windows 커널의 취약성으로 인한 권한 상승 문제(3063858)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성은 공격자가 컴퓨터나 네트워크 공유의 로컬 디렉터리에 악성 .dll 파일을 저장하는 경우 권한 상승을 허용할 수 있습니다. 그런 다음 공격자는 권한 상승이 발생하도록 악성 .dll 파일을 로드할 수 있는 프로그램을 사용자가 실행하기까지 기다려야 합니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 해당 네트워크 공유나 웹 사이트를 방문하도록 만들 수 없습니다.

- Windows LoadLibrary EoP 취약성(CVE-2015-1758)


8. MS15-064 (중요) : Microsoft Exchange Server의 취약성으로 인한 권한 상승 문제(3062157)

이 보안 업데이트는 Microsoft Exchange Server의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 인증된 사용자가 특수 제작된 웹 페이지의 링크를 클릭하는 경우 권한 상승을 허용할 수 있습니다. 공격자는 강제로 사용자가 웹 사이트를 방문하도록 할 수 없습니다. 대신 공격자는 일반적으로 전자 메일 또는 인스턴트 메신저 메시지에서 유인물을 이용하여 사용자가 이 링크를 클릭하도록 유도해야 합니다.

- Exchange 서버 쪽 요청 위조 취약성(CVE-2015-1764)

- Exchange 교차 사이트 요청 위조 취약성(CVE-2015-1771)

- Exchange HTML 삽입 취약성(CVE-2015-2359)





블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



2014년 11월 19일 마이크로소프트의 긴급 업데이트가 발표되었다.

긴급 업데이트 내용은 이번달 2014년 11월 정기 보안 업데이트에서 제외 된 MS14-068(KB3011780)에 대한 

보안 업데이트이다.


특히 MS14-068 보안패치에 대한 제로데이(0-Day) 보안 취약점(CVE-2014-6324)에 대한 악성코드도 활동 중이니

꼭 긴급 업데이트를 받길 바란다.


※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS14-068 (긴급) : Kerberos의 취약점으로 인한 권한 상승 문제점 (3011780)
이 보안 업데이트는 공격자가 신뢰할 수 없는 도메인 사용자 계정 권한에서 도메인 관리자 계정 권한으로 권한 상승 시킬 수 있는 Microsoft Windows Kerberos KDC 의 비공개적으로 보고 된 취약점 1 건을 해결 합니다.  공격자는 도메인 컨트롤러가 포함 된 도메인에 있는 컴퓨터를 손상시키는데 이러한 권한 상승 취약점을 이용할 수 있습니다. 이 취약점을 악용 하려면 유효한 도메인 자격 증명을 가져야만 합니다. 표준 사용자 계정을 가진 사용자는 영향을 받는 구성요소를 원격으로 사용할 수 있습니다. 
이는 로컬 사용자 계정 정보만을 가진 사용자는 해당되지 않습니다.  이 보안 공지가 게시될 때, Microsoft는 이 취약점을 악용하려는 제한적인 공격에 대한 보고를 받았습니다.
이 보안 업데이트는 Windows 에 구현된 Kerberos 서명 유효성 검사를 수정하여 취약점을 해결합니다

영향을 받는 소프트웨어 :
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2

영향을 받지 않는 소프트웨어 :
* 아래 시스템에는 이 취약점에 영향을 받지는 않으며, 심층 보안 기능이 추가 되었습니다. 
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1 

취약점 : 
- Kerberos Checksum 취약점(CVE-2014-6324)


 
※ 악성코드가 확인 된 보안 업데이트이기 때문에 꼭 패치하시길 바란다!!




블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 10월 보안 업데이트가 발표 되었습니다.


이번 업데이트에는 Microsoft Windows Microsoft Office 소프트웨어, Internet Explorer 제품에서 발견된 보안취약점(24건)을 

해결한 8건의 보안 패치(긴급3, 중요5)4건의 보안권고(신규2, 개정2), 1건의 개정 된 보안 공지로 이루어져 있습니다.



금일 업데이트에는 10월 14일에 발견 된 Microsoft OLE 제로데이(0-Day : CVE-2014-4114) 취약점이 보안패치 되었다.



이번 업데이트에 포함 된 보안 권고 2건과 개정 된 보안공지의 정보는 아래와 같습니다.

■ 신규 보안 권고 2949927 Windows 7 및 Windows Server 2008R2에 대한 SHA-2 해싱 알고리즘의 사용 가능

요약:

Microsoft에서는 SHA-2 서명 및 확인 기능에 대한 지원을 추가하기 위해 지원 대상인 모든 Windows 7 및 Windows Server 2008 R2 에디션에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows RT 8.1에는 SHA-2 서명 및 확인 기능이 이미 포함되어 있기 때문에 이러한 운영 체제에는 업데이트가 필요하지 않습니다. 이 업데이트는 Windows Server 2003, Windows Vista 또는 Windows Server 2008에 사용할 수 없습니다.


영향을 받는 소프트웨어:

Windows 7, Windows Server 2008 R2


상세 정보:

https://technet.microsoft.com/library/security/2949927



■ 신규 보안 권고 2977292 TLS 사용을 지원하는 Microsoft EAP 구현에 대한 업데이트

요약:

Microsoft에서는 시스템 레지스트리의 수정을 통해 TLS(Transport Layer Security) 1.1 또는 1.2를 사용할 수 있도록 지원하는 Microsoft EAP(Extensible Authentication Protocol) 구현에 지원 대상인 Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows RT 에디션에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다.


영향을 받는 소프트웨어:

Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows RT 8.1


상세 정보:

https://technet.microsoft.com/library/security/2977292



■ 개정된 보안 공지 MS14-042 Microsoft Service Bus의 취약점으로 인한 서비스 거부 문제점(2972621)

개정된 내용:

Microsoft Update를 통한 보안 업데이트 외에 이 공지가 처음 릴리스되었을 때 제공된 다운로드 센터 전용 옵션의 제공을 알리기 위해 공지를 다시 릴리스했습니다. 이미 시스템을 성공적으로 업데이트한 고객은 추가 조치를 취할 필요가 없습니다.


영향을 받는 소프트웨어:

Windows Server 2008 R2, Windows Server 2012 및 Windows Server 2012 R2 에디션에 설치된 Microsoft Service Bus 1.1


상세 정보: 

https://technet.microsoft.com/library/security/ms14-042



■ 개정된 보안 권고 2871997 자격 증명 보호 및 관리 방법 개선을 위한 업데이트

개정된 내용:

2014년 10월 14일(태평양시), Microsoft는 다음 업데이트를 릴리스했습니다. 적용 가능한 업데이트는 원격 데스크톱 연결 및 원격 데스크톱 프로토콜에 대해 제한된 관리자 모드를 추가합니다.

- 지원 대상인 Windows 7 및 Windows Server 2008 R2 에디션에 대한 2984972

- 업데이트 2592687(원격 데스크톱 프로토콜(RDP) 8.0 업데이트)가 설치된 지원 대상인 Windows 7 및 Windows Server 2008 R2 에디션에 대한 2984976 업데이트 2984976을 설치한 고객은 업데이트 2984972도 설치해야 합니다.

- 업데이트 2830477(원격 데스크톱 프로토콜(RDP) 8.1 클라이언트 업데이트)가 설치된 지원 대상인 Windows 7 및 Windows Server 2008 R2 에디션에 대한 2984981 업데이트 2984981을 설치한 고객은 업데이트 2984972도 설치해야 합니다.

- 지원 대상인 Windows 8, Windows Server 2012, Windows RT 에디션에 대한 2973501


요약:

Microsoft는 자격 증명 보호 및 인증 제어를 강화하고 자격 증명 도난을 줄이기 위해 지원 대상인 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 에디션에 대해 업데이트를 사용할 수 있게 되었음을 알려드립니다.


참고: 

지원 대상인 Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 에디션에는 이미 이 기능이 포함되어 있으며 이 업데이트가 필요하지 않습니다. 

 

상세 정보: 

https://technet.microsoft.com/library/security/2871997



■ 개정된 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트

개정된 내용:

Microsoft는 2014년 10월 14일(태평양시)에 Windows 8, Windows Server 2012 및 Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1의 Internet Explorer 11에 대한 업데이트(3001237)를 발표했습니다. 이 업데이트는 Adobe 보안 게시물 APSB14-22(http://helpx.adobe.com/security/products/flash-player/apsb14-22.html )에 설명된 취약점을 해결합니다. 다운로드 링크를 포함하여 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 3001237(https://support.microsoft.com/kb/3001237 )을 참조하십시오.


상세 정보: 

https://technet.microsoft.com/library/security/2755801


최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS14-056 (긴급) : Internet Explorer 누적 보안 업데이트(2987107)

이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 14건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- Internet Explorer의 다양한 권한 상승 취약점(CVE-2014-4123, CVE-2014-4124)

- Internet Explorer ASLR 우회 취약점(CVE-2014-4140) 

- Internet Explorer의 여러 메모리 손상 취약점:

  CVE-2014-4126, CVE-2014-4127, CVE-2014-4128, CVE-2014-4129, CVE-2014-4130

  CVE-2014-4132, CVE-2014-4133, CVE-2014-4134, CVE-2014-4137, CVE-2014-4138 

  CVE-2014-4141 



2. MS14-057 (긴급) : .NET Framework의 취약점으로 인한 원격 코드 실행 문제점(3000414)

이 보안 업데이트는 Microsoft .NET Framework에서 발견되어 비공개적으로 보고된 취약점 3건을 해결합니다. 공격자가 .NET 웹 응용 프로그램에 국제 문자가 포함된 특수하게 조작된 URI 요청을 보낼 경우 가장 심각한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. .NET 4.0 응용 프로그램에서 취약한 기능(iriParsing)은 기본적으로 비활성화됩니다. 취약점이 악용될 수 있기 때문에 응용 프로그램은 명시적으로 이 기능을 사용합니다. .NET 4.5 응용 프로그램에서 iriParsing은 기본적으로 활성화되어 있으며 비활성화할 수 없습니다.

- .NET ClickOnce 권한 상승 취약점(CVE-2014-4073) 

- .NET Framework 원격 코드 실행 취약점(CVE-2014-4121) 

- .NET ASLR 취약점(CVE-2014-4122) 



3. MS14-058 (긴급) : 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점(3000061)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 공격자가 사용자에게 특수하게 조작된 문서를 열도록 유도하거나 포함된 TrueType 글꼴을 포함하는 신뢰할 수 없는 웹 사이트를 방문하도록 유도할 경우 가장 심각한 취약점은 원격 코드 실행을 허용할 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 작업을 수행하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭하여 공격자가 파일을 열도록 유도합니다.

- Win32k.sys 권한 상승 취약점(CVE-2014-4113) 

- TrueType 글꼴 구문 분석 원격 코드 실행 취약점(CVE-2014-4148)


4. MS14-059 (중요) : ASP.NET MVC의 취약점으로 인한 보안 기능 우회(2990942)

이 보안 업데이트는 ASP.NET MVC의 공개된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 사용자를 특수하게 조작된 링크를 클릭하도록 유도하거나 취약점을 악용하기 위해 설계하여 특수하게 조작된 콘텐츠가 포함된 웹 페이지를 방문하도록 유도하면 보안 기능 우회가 허용될 수 있습니다. 웹 기반 공격의 경우 공격자는 웹 브라우저를 통해 이 취약점을 악용하도록 설계하여 특수하게 조작된 웹 사이트를 호스팅한 다음 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 공격자는 사용자가 제공한 콘텐츠가 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트를 이용할 수도 있습니다. 이러한 웹 사이트에 이 취약점을 악용하는 특수하게 조작된 콘텐츠가 포함될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 공격자 제어 콘텐츠를 보도록 만들 수는 없습니다. 대신 공격자는 사용자가 공격자의 웹 사이트에 연결되는 전자 메일 메시지나 메신저 메시지에서 링크를 클릭하게 하거나 전자 메일을 통해 보낸 첨부 파일을 열도록 하는 등의 조치를 취하도록 유도해야 합니다.

- MVC XSS 취약점(CVE-2014-4075)


5. MS14-060 (중요) : Windows OLE의 취약점으로 인한 원격 코드 실행 문제점(3000869)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격 코드가 실행될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

- Windows OLE 원격 코드 실행 취약점(CVE-2014-4114)


6. MS14-061 (중요) : Microsoft Word 및 Office Web Apps의 취약점으로 인한 원격 코드 실행 문제점(3000434)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 공격자가 사용자에게 특수하게 조작된 Microsoft Word 파일을 열도록 유도할 경우 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

- Microsoft Word 파일 형식 취약점(CVE-2014-4117) 


7. MS14-062 (중요) : Message Queuing 서비스의 취약점으로 인한 권한 상승 문제점(2993254)

이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 공격자가 Message Queuing 서비스에 특수하게 조작된 IOCTL(입출력 제어) 요청을 보낼 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점의 악용에 성공하면 영향을 받는 시스템에 완전하게 액세스할 수 있습니다. 기본적으로 Message Queuing 구성 요소는 영향을 받는 운영 체제 에디션에 설치되지 않으며, 관리자 권한을 가진 사용자가 직접 설정해야만 사용할 수 있습니다. Message Queuing 구성 요소를 수동으로 설정한 고객만 이 문제에 취약할 가능성이 있습니다.

- MQAC 임의 쓰기 권한 상승 취약점(CVE-2014-4971)


8. MS14-063 (중요) : FAT32 디스크 파티션 드라이버의 취약점으로 인한 권한 상승 문제점(2998579)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 권한 상승 취약점은 Windows FASTFAT 시스템 드라이버가 FAT32 디스크 파티션과 상호 작용하는 방식에 존재합니다. 이 취약점 악용에 성공한 공격자는 상승된 권한을 사용하여 임의 코드를 실행할 수 있습니다.

- Microsoft Windows 디스크 파티션 드라이버 권한 상승 취약점(CVE-2014-4115)








블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.






2014년 10월 14일 Microsoft OLE와 관련 된 제로데이(0-Day : CVE-2014-4114) 취약점이 발견되었다.


해당 취약점을 이용하여 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격코드가 실행될 수 있는 

취약점으로써 사용자들은 보안 패치 적용 전까지는 의심스런 문서 파일 실행을 하지 않도록 주의하길 바란다.


이번 취약점은 지원 중인 모든 버전의 Microsoft 에서 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.

- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 
그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



※ 추가 내용

이번 제로데이(0-Day : CVE-2014-4114)은 금일 배포 된 윈도우 보안 업데이트에서 MS14-060 으로 패치 되었다.

[MS14-060] Windows OLE의 취약점으로 인한 원격코드 실행 문제


■ 영향

- 공격자가 영향 받는 시스템에 원격코드 실행


■ 설명

- 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격코드가 실행될 수 있는 취약점

- 관련취약점 :

Windows OLE 원격코드 실행 취약점 (CVE-2014-4114)

- 영향 : 원격코드 실행

- 중요도 : 중요

 

■ 해당시스템

- 참조사이트 참고

한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS14-060

영문 : http://technet.microsoft.com/en-us/security/bulletin/MS14-060

 

■ 해결책

- 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용



□ 관련 내용은 아래와 같으니 참고하기 바란다.


이 사실을 알아낸 곳은 미국 보안업체인 아이사이트 파트너즈(iSIGHT Partners)로 지속적으로 감시 중인 샌드웜(Sandworm)팀에서

최신 윈도우 제로데이 취약점을 이용하여 악성행위를 한 사실을 확인하였다고 한다.


추가적으로 이번 취약점을 이용한 악성파일도 확인이 되었다.

악성파일은 Microsoft Office 중 PowerPoint를 위장하여 스피어피싱 형태로 유포가 되었으며,

NATO, 우크라이나 정부, 미국의 러시아 전문가 그룹, 폴란드 정부, 에너지 산업 단체, 프랑스 통신사업자, 서유럽 정부기관이 타겟

이라고 밝히고 있다.


또한 악성파일은 블랙에너지(BlacEnergy)라는 백도어 형태의 모듈을 이용하였다.

(그림 출처 : http://viruslab.tistory.com/3669)


알약에서는 해당 파일들을 Exploit.CVE-2014-4114, Backdoor.BlackEnergy.A 로 탐지 중이다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.




마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 7월 보안 업데이트가 발표 되었습니다.


이번 업데이트에는 Microsoft Windows, Internet Explorer 제품군에서 발견된 보안취약점(27건)을 

해결한 6의 보안 패치(긴급2, 중요3, 보통1)3건의 보안권고(개정3)로 이루어져 있습니다.


이번 업데이트에 포함 된 보안 권고 3건의 정보는 아래와 같습니다.

■ 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트

요약 : 
지원 대상인 모든 Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1 에디션의 Internet Explorer에서 Adobe Flash Player에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. 이 업데이트는 Internet Explorer 10 및 Internet Explorer 11 내에 포함된 영향을 받는 Adobe Flash 라이브러리를 업데이트하여 Adobe Flash Player의 취약점을 해결합니다.
Microsoft는 2014년 7월 9일(한국시각) Windows 8, Windows Server 2012 및 Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1의 Internet Explorer 11에 대한 업데이트(2974008)를 발표했습니다. 이 업데이트는 Adobe 보안 게시물 APSB14-17에 설명된 취약점을 해결합니다. 다운로드 링크를 포함하여 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 2974008를 참조하십시오.



■ 보안 권고 2871997 자격 증명 보호 및 관리 방법 개선을 위한 업데이트

요약 :
Microsoft는 자격 증명 보호 및 인증 제어를 강화하고 자격 증명 도난을 줄이기 위해 지원 대상인 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 에디션에 대해 업데이트를 사용할 수 있게 되었음을 알려드립니다.
2014년 7월 9일(한국시각) Microsoft는 지원 대상인 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT 에디션과, 2919355(Windows 8.1 업데이트) 업데이트를 설치한 지원 대상인 Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 에디션에 대해 2973351 업데이트를 릴리스했습니다. Microsoft는 2919355(Windows 8.1 업데이트) 업데이트를 설치하지 않은 지원 대상인 Windows 8.1, Windows Server 2012 R2 에디션에 대해 2975625 업데이트를 릴리스했습니다. 업데이트는 구성 가능한 레지스트리 설정을 제공하므로 CredSSP(Credential Security Support Provider)에 대한 제한된 관리 모드를 관리할 수 있습니다. 다운로드 링크를 포함하여 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 2973351을 참조하십시오.

참고. 이 업데이트는 Windows 8.1, Windows Server 2012 R2, Windows RT 8.1에 대한 기본 제한된 관리 모드 기능을 변경합니다. 자세한 내용은 권고 FAQ 섹션을 확인하십시오.



■ 보안 권고 2960358 .NET TLS의 RC4 비활성화 업데이트

요약 :
시스템 레지스트리의 수정을 통해 TLS(전송 계층 보안)에서 RC4를 사용하지 않도록 설정하는 Microsoft .NET Framework에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. TLS에서 RC4를 사용하면 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행하고 암호화된 세션에서 일반 텍스트를 복구할 수 있습니다.
2014년 7월 9일(한국시각) 2868725 필수 업데이트 설치가 필요한 업데이트에 대한 Microsoft Update 카탈로그 검색 변경 사항을 알리고자 권고가 개정되었습니다. 이 변경 사항은 검색에만 해당됩니다. 이미 시스템을 성공적으로 업데이트한 고객은 추가 조치를 취할 필요가 없습니다


최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS14-037 (긴급) : Internet Explorer 누적 보안 업데이트(2975687)

이 보안 업데이트는 Internet Explorer의 공개된 취약점 1건과 비공개로 보고된 취약점 23건을 해결합니다. 

가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- EV(Extended Validation) 인증서 보안 기능 우회 취약점(CVE-2014-2783)

- Internet Explorer의 여러 메모리 손상 취약점:

  CVE-2014-1763, CVE-2014-1765, CVE-2014-2785, CVE-2014-2786, CVE-2014-2787

  CVE-2014-2788, CVE-2014-2789, CVE-2014-2790, CVE-2014-2791, CVE-2014-2792

  CVE-2014-2794, CVE-2014-2795, CVE-2014-2797, CVE-2014-2798, CVE-2014-2800

  CVE-2014-2801, CVE-2014-2802, CVE-2014-2803, CVE-2014-2804, CVE-2014-2806

  CVE-2014-2807, CVE-2014-2809, CVE-2014-2813


2. MS14-038 (긴급) : Windows Journal의 취약점으로 인한 원격 코드 실행 문제점(2975689)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

이 취약점으로 인해 사용자가 특수하게 조작된 Journal 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

- Windows Journal 원격 코드 실행 취약점(CVE-2014-1824)


3. MS14-039 (중요) : 화상 키보드의 취약점으로 인한 권한 상승 문제점(2975685)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

이 취약점으로 인해 공격자가 낮은 무결성 프로세스에서 취약점을 악용해 화상 키보드(OSK)를 실행하고 대상 시스템에 특수하게 조작된 프로그램을 업로드할 경우 권한 상승이 허용될 수 있습니다.

- 화상 키보드 권한 상승 취약점(CVE-2014-2781)


4. MS14-040 (중요) : AFD(Ancillary Function Driver)의 취약점으로 인한 권한 상승 문제점(2975684)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 

이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

- Ancillary Function Driver 권한 상승 취약점(CVE-2014-1767)


5. MS14-041 (중요) : DirectShow의 취약점으로 인한 권한 상승 문제점(2975681)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

이 취약점으로 인해 공격자가 낮은 무결성 프로세스에서 다른 취약점을 악용한 후 이 취약점을 통해 로그온한 사용자의 컨텍스트에서 특수하게 조작된 코드를 실행할 경우 권한 상승이 허용될 수 있습니다. 기본적으로 Windows 8 및 Windows 8.1의 최신 몰입형 브라우징 환경은 향상된 보호 모드(EPM)로 실행됩니다. 예를 들어 최신 Windows 태블릿에서 터치 친화적인 Internet Explorer 11 브라우저를 사용하는 고객은 기본적으로 향상된 보호 모드를 사용합니다. 향상된 보호 모드는 64비트 시스템에서 이 취약점의 악용을 완화시키는 데 도움이 될 수 있는 고급 보안 보호를 사용합니다.

- DirectShow 권한 상승 취약점(CVE-2014-2780)


6. MS14-042 (보통) : Microsoft Service Bus의 취약점으로 인한 서비스 거부 문제점(2972621)

이 보안 업데이트는 Windows Server용 Microsoft Service Bus의 공개된 취약점 1건을 해결합니다.

이 취약점으로 인해 원격 인증된 공격자가 대상 시스템에 특수하게 조작된 AMQP(Advanced Message Queuing Protocol) 메시지 시퀀스를 보내는 프로그램을 만들어 실행할 경우 서비스 거부가 발생할 수 있습니다. Windows Server용 Microsoft Service Bus는 Microsoft 운영 체제와 함께 제공되지 않습니다. 영향을 받는 취약한 시스템의 경우 먼저 Microsoft Service Bus를 다운로드해 설치 및 구성한 후 구성 세부 정보(팜 인증서)를 다른 사용자와 공유해야 합니다.

- Service Bus 서비스 거부 취약점(CVE-2014-2814)





블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.




마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 5월 보안 업데이트가 발표 되었습니다.

이번 업데이트에는 Microsoft Windows, Microsoft Office, Internet Explorer 제품군에서 발견된 보안취약점(14건)을 
해결한 8건의 보안 패치(긴급2, 중요6)와 4건의 보안권고(신규3, 개정1)로 이루어져 있습니다.

이번 업데이트에 포함 된 보안 권고 4건의 정보는 아래와 같습니다.
■ 신규 보안 권고 2962824 비규격 UEFI 모듈을 해지하는 업데이트 롤업

요약 : 
이 권고를 통해 Microsoft는 UEFI 보안 부팅 도중 로드되었을 수 있는 타사의 비공개 UEFI(Unified Extensible Firmware Interface) 모듈 4개에 대한 디지털 서명을 해지합니다.
이러한 UEFI(Unified Extensible Firmware Interface) 모듈은 백업 및 복구 소프트웨어에 배포된 파트너 모듈입니다. 업데이트를 적용하면 영향을 받는 UEFI 모듈이 더 이상 신뢰되지 않으며 UEFI 보안 부팅을 사용하는 시스템에 더 이상 로드되지 않습니다. 영향을 받는 UEFI 모듈은 Microsoft의 인증 프로그램을 준수하지 않으며 작성자의 요청에 따라 해지되는 Microsoft에서 서명한 특정 모듈로 구성되어 있습니다.
Microsoft는 영향을 받는 UEFI 모듈의 오용 사례에 대해서는 보고를 받지 못했습니다. Microsoft는 고객을 보호하기 위한 지속적인 노력의 일환으로 해당 작성자와 협력하여 이러한 비규격 모듈에 대한 사전 해지 조치를 취하고 있습니다. 이 조치는 UEFI 보안 부팅을 사용할 수 있으며, UEFI를 통한 부팅이 구성되어 있고 보안 부팅이 활성화되어 있는 Windows 8, Windows 8.1, Windows Server 2012 및 Windows Server 2012 R2를 실행하는 시스템에만 적용됩니다. UEFI 보안 부팅을 지원하지 않거나 UEFI 보안 부팅을 사용하지 않도록 설정되어 있는 시스템에는 적용되지 않습니다.

권장 사항 : 
영향을 받는 UEFI 모듈은 백업 및 복구 소프트웨어에 배포된 파트너 모듈입니다. 해당 UEFI 모듈을 사용하고 있는 것은 아닌지 염려되는 고객은 "이 업데이트는 어떤 기능을 수행합니까?" 및 "비규격 UEFI 모듈을 해지하는 이 업데이트 롤업으로 설명된 해지된 디지털 서명은 무엇입니까?" 권고 FAQ에서 영향을 받는 UEFI 모듈에 대한 정보를 확인하십시오.



■ 신규 보안 권고 2871997 자격 증명 보호 및 관리 방법 개선을 위한 업데이트

요약 :
지원 대상인 Windows 8, Windows RT, Windows Server 2012, Window 7, Windows Server 2008 R2 에디션에 대해 자격 증명 도난 위험을 줄이도록 자격 증명 보호 및 도메인 인증 컨트롤을 개선하는 업데이트를 사용할 수 있게 되었음을 알려드립니다. 이 업데이트를 통해 LSA(로컬 보안 기관)에 대한 추가적인 보호가 제공되고, CredSSP(Credential Security Support Provider)에 대한 제한된 관리 모드가 추가되고, 보호된 계정이 요구되는 도메인 사용자 카테고리에 대한 지원이 도입되고, Windows 7, Windows Server 2008 R2, Windows 8, 그리고 클라이언트로 사용되는 Windows Server 2012 시스템에 대해 보다 강력한 인증 정책이 적용됩니다.

권장 사항 : 
고객이 업데이트 관리 소프트웨어를 사용하거나 Microsoft Update 서비스를 통해 업데이트를 확인하여 업데이트를 즉시 적용하는 것이 좋습니다. 자세한 내용은 권고의 권장 조치 항목을 참조하십시오.



■ 신규 보안 권고 2960358 .NET TLS의 RC4 비활성화 업데이트

요약 :
시스템 레지스트리의 수정을 통해 TLS(전송 계층 보안)에서 RC4를 사용하지 않도록 설정하는 Microsoft .NET Framework에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. TLS에서 RC4를 사용하면 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행하고 암호화된 세션에서 일반 텍스트를 복구할 수 있습니다.

권장 사항 : 
고객은 업데이트를 배포하기 전에 가능한 빨리 다운로드하고 테스트하는 것이 좋습니다.



■ 개정된 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트

요약 : 
지원 대상인 모든 Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1 에디션의 Internet Explorer에서 Adobe Flash Player에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. 이 업데이트는 Internet Explorer 10 및 Internet Explorer 11 내에 포함된 영향을 받는 Adobe Flash 라이브러리를 업데이트하여 Adobe Flash Player의 취약점을 해결합니다.

Microsoft는 2014년 5월 13일(태평양시)에 Windows 8, Windows Server 2012 및 Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1의 Internet Explorer 11에 대한 업데이트(2957151)를 발표했습니다. 
이 업데이트는 Adobe 보안 게시물 APSB14-14에 설명된 취약점을 해결합니다.


    최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
    해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS14-022 (긴급) : Microsoft SharePoint Server의 취약점으로 인한 원격 코드 실행 문제점(2952166)

    이 보안 업데이트는 Microsoft Office 서버 및 생산성 소프트웨어에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 인증된 공격자가 대상 SharePoint 서버에 특수하게 조작된 페이지를 보내는 경우 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다.

    - SharePoint 페이지 콘텐츠 취약점(CVE-2014-0251)

    - SharePoint XSS 취약점(CVE-2014-1754)

    - 웹 응용 프로그램 페이지 콘텐츠 취약점(CVE-2014-1813)


    2. MS14-023 (중요) : Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2961037)

    이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 Office 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

    - Microsoft Office 중국어 문법 검사 취약점(CVE-2014-1756) 

    - 토큰 재사용 취약점(CVE-2014-1808)


    3. MS14-024 (중요) : Microsoft 공용 컨트롤의 취약점으로 인한 보안 기능 우회(2961033)

    이 보안 업데이트는 MSCOMCTL 공용 컨트롤 라이브러리의 구현에서 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 Internet Explorer와 같이 COM 구성 요소를 인스턴스화할 수 있는 웹 브라우저에서 특수하게 조작된 웹 페이지를 볼 경우 보안 기능 우회가 허용될 수 있습니다. 웹 검색을 통한 공격의 경우, 이 취약점 악용에 성공한 공격자는 다양한 취약점 클래스로부터 사용자를 보호해 주는 ASLR(Address Space Layout Randomization) 보안 기능을 우회할 수 있습니다. 보안 기능을 우회하는 것만으로는 임의의 코드 실행이 허용되지 않지만 공격자는 이 ASLR 우회 취약점을 다른 취약점 즉, ASLR 우회를 통해 임의의 코드를 실행할 수 있는 원격 코드 실행 취약점 등과 함께 사용할 수 있습니다.

    - MSCOMCTL ASLR 취약점(CVE-2014-1809)


    4. MS14-025 (중요) : 그룹 정책 기본 설정 취약점으로 인한 권한 상승 문제점(2962486)

    이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. Active Directory 그룹 정책 기본 설정을 사용하여 도메인 전체에서 암호를 배포하는 경우 이 취약점으로 인해 권한 상승이 허용되어 공격자가 그룹 정책 기본 설정에 저장된 암호를 검색하고 해독할 수 있습니다.

    - 그룹 정책 기본 설정 암호 권한 상승 취약점(CVE-2014-1812)


    5. MS14-026 (중요) : .NET Framework의 취약점으로 인한 권한 상승 문제점(2958732)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft .NET Framework의 취약점을 해결합니다. 이 취약점으로 인해 인증되지 않은 공격자가 특수하게 조작한 데이터를 .NET Remoting을 사용하는 영향을 받는 워크스테이션 또는 서버로 전송할 경우 권한 상승이 허용될 수 있습니다. .NET Remoting은 응용 프로그램에서 광범위하게 사용되고 있습니다. .NET Remoting을 사용하도록 특수하게 설계된 사용자 지정 응용 프로그램만 시스템을 이 취약점에 노출시킬 수 있습니다.

    - TypeFilterLevel 취약점(CVE-2014-1806)


    6. MS14-027 (중요) : Windows 셸 처리기의 취약점으로 인한 권한 상승 문제점(2962488)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 ShellExecute를 사용하는 특수하게 조작된 응용 프로그램을 사용할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

    - Windows 셸 파일 연결 취약점(CVE-2014-1807)


    7. MS14-028 (중요) : iSCSI의 취약점으로 인한 서비스 거부 문제점(2962485)

    이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 공격자가 대량의 특수하게 조작된 iSCSI 패킷을 대상 네트워크로 보낼 경우 서비스 거부가 발생할 수 있습니다. 이 취약점은 iSCSI 대상 역할이 사용된 서버에만 영향을 줍니다.

    - iSCSI 대상 원격 서비스 거부 취약점(CVE-2014-0255) 

    - iSCSI 대상 원격 서비스 거부 취약점(CVE-2014-0256)


    8. MS14-029 (긴급) : Internet Explorer 보안 업데이트(2962482)

    이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

    - Internet Explorer 메모리 손상 취약점(CVE-2014-0310)

    - Internet Explorer 메모리 손상 취약점(CVE-2014-1815)





    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.






    2014년 05월 02일 마이크로소프트의 긴급 업데이트가 발표되었다.

    긴급 업데이트 내용은 지난 2014년 4월 말쯤에 공개 된 Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 웹 브라우저의 
    제로데이(0-Day) 취약점(CVE-2014-1776)에 대한 보안 패치이다.

    0-Day가 나오고 난 후 실제 악용 된 사례들도 발견되고 있다.


    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS14-021 (긴급) : Internet Explorer 보안 업데이트 (2965111)
    이 보안 업데이트는 Internet Explorer에 대하여 공개적으로 발견된 취약점을 해결합니다.
    이 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 
    보안 업데이트는 Internet Explorer가 메모리에서 개체를 처리하는 방식을 수정하여 취약점을 해결합니다.
    -  Internet Explorer 메모리 손상 취약점 (CVE-2014-1776)


     
    ※ 악성코드가 확인 된 보안 업데이트이기 때문에 꼭 패치하시길 바란다!!




    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.



    마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 4월 보안 업데이트가 발표 되었습니다.


    3월 말에 발견된 Word RTF 문서(Rich Text Format) 0-Day 였던 원격코드 실행 취약점 (CVE-2014-1761)도 

    이번 보안 업데이트에 MS14-017로 패치가 되니, 꼭 보안업데이트를 받으시길 바랍니다.



    Microsoft는 제품기술지원주기에 의해 Windows XP 및 Office 2003 에 대한 지원 서비스를 2014년 4월 8일자로 종료합니다.

    - Windows XP 지원 종료 안내 : http://windows.microsoft.com/ko-kr/windows/end-support-help

     

    이번 보안 공지에는 Windows XP에 대한 마지막 보안 업데이트인 MS14-018(2950467) 과 MS14-019(2922229)과 
    Office 2003 중 Word 2003의 마지막 보안 업데이트인 MS14-017(2949660)을 포함합니다.


    Windows XP 와 Office 2003의 서비스 종료로 신규 보안 업데이트는 더이상 지원되지 않으며, 
    이전에 발표된 모든 업데이트는 마이크로소프트 다운로드 사이트 및 윈도우 업데이트등을 통해 계속 사용할 수 있습니다.


    ※ 4월 8일 날짜로 
    Windows XP의 보안 업데이트가 마지막 지원을 하게 됩니다.



    이번 업데이트에는 Microsoft Windows, Microsoft Office, Internet Explorer 제품군에서 발견된 보안취약점(11건)을
    해결한 보안 패치(4건)와 3건의 보안권고(신규1,개정2)로 이루어져 있습니다.

    이번 업데이트에 포함 된 보안 권고 3건의 정보는 아래와 같습니다.
    ■ 신규 보안 권고 2956541 Microsoft Update 클라이언트 업데이트

    요약:
    지원 대상인 모든 Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows RT 8.1 에디션에 대한 Microsoft Update 클라이언트를 업데이트할 것임을 알려드립니다. 
    이 업데이트는 Microsoft Update 클라이언트 파일 및 통신 채널의 보안을 강화합니다.

    권장 사항: 대부분의 고객은 자동 업데이트를 사용하고 있기 때문에 따로 조치를 취할 필요가 없습니다. 이 보안 업데이트가 자동으로 다운로드 되고 설치됩니다. 자동 업데이트를 사용하고 있지 않은 고객은 업데이트가 다운로드 및 설치되는 시간에 업데이트를 확인해야 합니다.



     개정된 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트

    요약: 
    지원 대상인 모든 Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1 에디션의 Internet Explorer에서 Adobe Flash Player에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. 
    이 업데이트는 Internet Explorer 10 및 Internet Explorer 11 내에 포함된 영향을 받는 Adobe Flash 라이브러리를 업데이트하여 Adobe Flash Player의 취약점을 해결합니다.

    Microsoft는 2014년 4월 8일 Windows 8, Windows Server 2012 및 Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1의 Internet Explorer 11에 대한 업데이트(2942844)를 발표했습니다. 
    이 업데이트는 Adobe 보안 게시물 APSB14-09에 설명된 취약점을 해결합니다.



    ■ 개정된 보안 권고 2953095 Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점

    요약:
    Microsoft는 공개적으로 보고된 이 취약점에 대해 조사를 완료했습니다. 
    이 문제를 해결하기 위해 MS14-017이 게시되었습니다. 해결된 취약점은 Word RTF 메모리 손상 취약점(CVE-2014-1761)입니다.


    최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
    해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS14-017 (긴급) : Microsoft Word 및 Office Web Apps의 취약점으로 인한 원격 코드 실행 문제점 (2949660)

    이 보안 업데이트는 Microsoft Office의 공개된 취약점 1건과 비공개로 보고된 취약점 2건을 해결합니다. 

    이러한 취약점 중 가장 위험한 취약점으로 인해 영향을 받는 Microsoft Office 소프트웨어 버전에서 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

    - Microsoft Office File Format Converter 취약점(CVE-2014-1757)

    - Microsoft Word 스택 오버플로 취약점(CVE-2014-1758)

    - Word RTF 메모리 손상 취약점(CVE-2014-1761)


    2. MS14-018 (긴급) : Internet Explorer 누적 보안 업데이트 (2950467)

    이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 6건을 해결합니다. 

    이러한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

    - Internet Explorer의 여러 메모리 손상 취약점

      : CVE-2014-0235, CVE-2014-1751, CVE-2014-1752, CVE-2014-1753, CVE-2014-1755, CVE-2014-1760


    3. MS14-019 (중요) : Windows 파일 처리 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2922229)

    이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 

    사용자가 신뢰할 수 있거나 상당히 신뢰할 수 있는 네트워크 위치에서 특수하게 조작된 .bat 및 .cmd 파일을 실행하는 경우 이 취약점을 악용하면 원격 코드 실행이 가능합니다. 공격자는 강제로 사용자가 네트워크 위치를 방문하도록 만들거나 특수하게 조작된 파일을 실행하도록 할 수 없습니다. 대신 공격자는 사용자가 이러한 작업을 수행하도록 유도해야 합니다. 예를 들어, 공격자는 사용자가 링크를 클릭하여 공격자의 특수하게 조작된 파일이 있는 위치로 이동하고 결과적으로 이를 실행하도록 유도할 수 있습니다.

    - Windows 파일 처리 취약점(CVE-2014-0315)


    4. MS14-020 (중요) : Microsoft Publisher의 취약점으로 인한 원격 코드 실행 취약점 (2950145)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 

    이러한 취약점으로 인해 사용자가 영향을 받는 Microsoft Publisher 버전으로 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

    - 임의 포인터 역참조 취약점(CVE-2014-1759)





    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    2014년 3월 24일 Microsoft Word 프로그램과 관련 된 제로데이(0-Day : CVE-2014-1761)취약점이 발견되었다.


    해당 취약점을 악용한 Word RTF 문서(Rich Text Format) 실행 시 또는 Microsoft Outlook 이메일 클라이언트 프로그램의
    이메일 뷰어 기능을 사용할 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니,
    해당 제품을 사용하시는 사용자들은 보안 패치 적용 전까지는 의심스런 문서 파일 실행을 하지 않도록 주의하길 바란다.


    이번에 발견 된 Microsoft Word 프로그램 취약점은 RTF 파일을 처리하는 과정에서 발생하는 원격코드 실행 취약점으로써,

    Microsoft Word 2010 버전을 통해 조작 된 RTF 파일을 오픈할 때 조작 된 RTF 형식 데이터를 구분 분석 시 메모리에 임의 코드를
    실행 할 수 있는 취약점이라고 한다.


    이번 취약점은 지원 중인 모든 버전의 Microsoft Word 버전에 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.

    - 제로데이 공격이란?
    운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 
    그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



    실제 CVE-2014-1761 취약점을 악용한 문서파일도 발견 된 것으로 보인다.

    - SAMPLE HASHES

    Filename : %TEMP%\svchost.exe


    MD5 : af63f1dc3bb37e54209139bd7a3680b1

    SHA1 : 77ec5d22e64c17473290fb05ec5125b7a7e02828


    - C&C SERVER AND  PROTOCOL

    C&C Server : h**ps://185.12.44.51 Port: 443

    NOTE : on port 80 the C&C host serves a webpage mimicking the content of "http://www.latamcl.com/" website


    GET request example:

    h**ps://185.12.44.51/[rannd_alpa_chars].[3charst]?[encodedpayload]


    User-Agent string : "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64;2*Uuhgco}%7)1"

    - REGISTRY INDICATORS

    Registry key added :

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

    "Windows Startup Helper" = "%windir%\system32\wscript.exe %TEMP%\[malicious.vbs]"


    Service name (possibly) created : WindowsNetHelper 



    □ 관련 내용은 아래와 같으니 참고하기 바란다.


    마이크로 소프트에서는 이번 취약점을 CVE-2014-1761 으로 명명하고, 추가 긴급 업데이트를 준비 중일 듯 하다.

    ■ 영향을 받는 소프트웨어

    (지원 중인 모든 버전의 Microsoft Word)


    - Microsoft Word 2003 Service Pack 3

    - Microsoft Word 2007 Service Pack 3

    - Microsoft Word 2010 Service Pack 1 (32-bit editions)

    - Microsoft Word 2010 Service Pack 2 (32-bit editions)

    - Microsoft Word 2010 Service Pack 1 (64-bit editions)

    - Microsoft Word 2010 Service Pack 2 (64-bit editions)

    - Microsoft Word 2013 (32-bit editions)

    - Microsoft Word 2013 (64-bit editions)

    - Microsoft Word 2013 RT

    - Microsoft Word Viewer

    - Microsoft Office Compatibility Pack Service Pack 3

    - Microsoft Office for Mac 2011

    - Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1

    - Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2

    - Word Automation Services on Microsoft SharePoint Server 2013

    - Microsoft Office Web Apps 2010 Service Pack 1

    - Microsoft Office Web Apps 2010 Service Pack 2

    - Microsoft Office Web Apps Server 2013



    현재 마이크로소프트(Microsoft)에서는 CVE-2014-1761 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포 행위가 발생함에 

    따라 긴급 "Fix it(Disable opening RTF content in Microsoft Word)"을 배포하고 있으니, 공식적인 패치가 나오기 전까지는 Fix it을 

    설치하여  CVE-2014-1761 취약점에 대한 임시적 해결을 할 수 있으니 참고하기 바란다.


    - Microsoft Fix it 51010 (Fix it 적용) : 파일 다운로드

    - Microsoft Fix it 51011 (Fix it 해제) : 파일 다운로드


    ※ 정식 보안 패치가 나오면 업데이트 전 해당 프로그램은 삭제 해야 된다. 잊지 마시길^^



    Fix it 솔루션이 발표는 되었지만, 정식 보안패치가 나올 때 까지 Microsoft Word 제공하는 보안 센터 옵션을 수정하여 사용하는 것도
    하나의 방법이라 볼 수 있다.

    ※ 보안센터 - 고급 파일 설정 - RTF 파일 열기, 저장 체크 - 선택한 파일 형식에 대한 열기 동작 : 열지않음 체크


    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    2014년 2월 13일 인터넷 익스플로러 10(Internet Explorer 10)과 관련 된 제로데이(0-Day)취약점(CVE-2014-0322)이 발견되었다.

    현재 해당 취약점을 이용한 악성 웹 페이지에 접속 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니,
    해당 제품을 사용하시는 사용자들은 
    보안 패치 적용 전까지 Internet Explorer 10 브라우저를 이용하여 인터넷을 사용하지 않도록
    주의하길 바란다.

    이번에 발견 된 Internet Explorer 취약점은 Use After Free 취약점을 이용한 메모리 손상을 통해 임의의 코드를 실행 할 수 있다는 
    내용이다.

    - 제로데이 공격이란?
    운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



    ※ 이번 기회에 Internet Explorer 11로 업그레이드 하는 것도 방법일 수 있겠다.
    - Internet Explorer 11 다운로드 페이지 : http://windows.microsoft.com/ko-kr/internet-explorer/download-ie
    ■ 영향을 받는 소프트웨어
    - Internet Explorer 9
    - Internet Explorer 10

    ■ 영향을 받지 않는 소프트웨어
    - Internet Explorer 11

     
    □ 관련 내용은 아래와 같으니 참고하기 바란다.

    정식 보안패치가 나올 때 까지 Internet Explorer 11 버전으로 업그레이드 해야 하며 
    MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저(Mozilla Firefox, Google Chrome, Opera, Swing 등)를 
    사용하는 것이 
    안전하다.

    - 파이어폭스(Mozilla Firefox) : http://www.mozilla.or.kr/ko

    - 구글 크롬(Google Chrome) : http://www.google.com/chrome

    - 오페라(Opera) : http://www.opera.com/browser

    - 스윙 브라우저(Swing-browser) : http://swing-browser.com


    또는 EMET를 사용하여 임시적으로 막는 방법도 괜찮다.
    ※ EMET(Enhanced Mitigation Experience Toolkit)는 소프트웨어의 취약성이 악용되지 못하도록 하는 유틸리티입니다. EMET는 보안 완화 기술을 이용하여 이 목표를 구현합니다. 이러한 기술은 공격자가 소프트웨어의 취약성을 악용하기 위해 넘어야 하는 특수한 보호 장치 및 장애 장치로 작동합니다. 이러한 보안 완화 기술이 있다고 해서 취약성이 악용되지 않는다고 보장할 수는 없습니다. 그렇지만 이러한 기술은 취약성을 악용하기 어렵게 합니다.

    - EMET 설명(한글) : http://support.microsoft.com/kb/2458544
    - EMNET 다운로드(영문) : http://www.microsoft.com/en-us/download/details.aspx?id=41138

    EMET 설치 완료 후, 아래와 같이 확인하면 된다.
    1. Apps을 클릭하면 현재 보호 되고 있는 프로그램들을 볼 수 있다.



    2. 리스트 중에서 "iexploer.exe" 가 존재하면, 그냥 냅두면 된다.



    3. 만약 iexplore.exe가 없다면, "Add Application"을 클릭하여 iexplore.exe 파일을 찾아서 추가하면 된다.



    4. 그럼 아래와 같이 프로그램이 추가되어 있는 것을 볼 수 있다.



    그럼 이제 간단하게 이번 제로데이인 CVE-2014-0322 취약점 파일에 대해 살펴보자.

    이번 취약점이 삽입 된 변조 사이트 접속 시 연결되는 사이트는 다음과 같다.
    hxxp://alists*****.com/Data/img/img.html (Exploit.JS.CVE-2014-0322.A)
    hxxp://alists*****.com/Data/img/Tope.swf (Exploit.SWF.Downloader)
    hxxp://alists*****.com/Data/img/Erido.jpg (Backdoor.Agent.86016)
    hxxp://gifas*****.net/include.html (Exploit.JS.CVE-2014-0322.A)
    hxxp://gifas.*****.net/Tope.swf (Exploit.SWF.Downloader)
    hxxp://gifas.*****.net/Erido.jpg (Backdoor.Agent.86016)

    ※ Erido.jpg 파일은 XOR(0x95)로 암호화가 풀리게 되면, stream.exe 파일명으로 실행된다.


    취약점 페이로드로 보이는 Exploit.JS.CVE-2014-0322.A 파일을 살펴보자.

    해당 파일의 특이사항으로는 "EMET 프로그램"이 설치되어 있는 것을 "EMET.DLL" 파일의 존재로 확인하고,
    파일 존재 시 스크립트 실행을 중지하는 코드가 들어가 있다.



    EMET 프로그램이 설치되면, C:\WINDOWS\AppPatch 폴더에서 "EMET.DLL" 파일이 존재하게 된다.
    이 말은 즉, EMET 프로그램으로 임시 방어를 할 수 있다는 뜻이다^^



    그리고 플래시 플레이어 파일로 이루어진 악성 Tope.swf 파일을 추가다운로드 하여 실행 시킨다.


    Tope.swf 파일을 살펴보면, "Erido.jpg" 파일을 다운로드 하여 vector 클래스에 의해 실행파일로 설치된다.



    Erido.jpg 파일은 XOR(0x95)로 암호화가 되어 있으며, 차후 stream.exe 파일명으로 실행된다.
    ZxShell Backdoor 로 판단되며, 해당 포스팅에서는 파일 분석은 하지 않는다.


    현재 알약에서는 해당 파일들을 아래와 같이 탐지 중이다.




    (참고사항) 사용 된 샘플의 인증서 내용이 조금 의심스럽다.
    변종파일에 모두 유효한 디지털서명이 담겨 있는데, 국내 사이트에 관련 된 인증서로 확인된다.
    (인증서와 관련 된 국내 사이트 : http://microdigital.co.kr/korean, http://m.ipopclub.co.kr)





    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 2월 보안 업데이트가 발표 되었습니다.

    ※ 앞으로 Windows XP의 보안 업데이트 종료 시점까지 2달밖에 남지 않았습니다.
    그래서 이번에 저도 Win7 로 갈아탔습니다. XP사용자분들도 조금 서두르는게 좋을 듯 하네요.


    이번 업데이트에는 Microsoft Windows, Internet Explorer, Microsoft 보안 소프트웨어, Microsoft .NET Framework 제품군에서
    발견된 보안 취약점(32건)을 해결한 보안 패치(7개)와 2건의 보안권고(개정2)로 이루어져 있습니다.

    이번 업데이트에 포함 된 보안 권고 2건의 정보는 아래와 같습니다.
    ■ 보안 권고 2867973 Microsoft 루트 인증 프로그램의 MD5 해싱 알고리즘 사용 중단에 대한 업데이트

    - 개정된 부분: 
    Microsoft는 영향을 받는 모든 Microsoft Windows 릴리스에 대한 2862973 업데이트가 이제 자동 업데이트를 통해 제공된다는 점을 알리기 위해 이 권고를 개정했습니다.
    2862973 업데이트를 이전에 적용한 고객은 추가 조치가 필요하지 않습니다.

    - 요약:
    지원 대상인 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT 에디션에 대해 MD5 해시를 사용하는 인증서의 사용을 제한하는 업데이트를 사용할 수 있게 되었음을 알려드립니다. 
    이 제한은 Microsoft 루트 인증서 프로그램의 루트에서 발급된 인증서로 한정됩니다. 인증서에 MD5 해시 알고리즘이 사용되면 공격자가 콘텐츠를 스푸핑하거나 피싱 공격이나 MITM(Man-in-the-Middle) 공격을 수행할 수 있습니다.
    영향을 받는 Microsoft Windows 릴리스에서 2862973 업데이트는 인증서에서 MD5 해싱 알고리즘을 사용하지 않도록 요청합니다. CertGetCertificateChain 기능을 호출하는 Microsoft 제품 또는 타사 제품에서 MD5 해시를 사용하는 인증서는 더 이상 신뢰되지 않습니다. 
    이 기능은 마지막 인증서에서 거슬러 시작하여 가능한 경우 신뢰할 수 있는 루트 인증서로 연결되는 인증서 체인 컨텍스트를 기반으로 합니다. 체인의 유효성을 검사할 때 체인의 모든 인증서는 MD5 해시가 사용되지 않는지 확인됩니다. 체인의 인증서에서 MD5 해시가 있을 경우 최종 인증서는 신뢰되지 않습니다.

    - 권장 사항:
    이 업데이트를 가능한 빨리 적용하는 것이 좋습니다.



    ■ 보안 권고 2915720 Windows Authenticode 서명 확인 변경

    - 개정된 부분: 
    고객에게 MS13-098로 인해 중지되었던 변경 사항이 2014년 6월 10일에 활성화됨을 알리기 위해 권고가 다시 릴리스되었습니다. 이후로는 Windows에서 비규격 바이너리가 더 이상 서명된 바이너리로 인식되지 않습니다.

    - 요약: 
    Windows Authenticode 서명 형식을 사용하여 서명된 바이너리에 대한 서명 확인 방식을 변경하기 위해 지원 대상인 모든 Microsoft Windows 릴리스에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. 
    변경 사항은 보안 공지 MS13-098에 포함되어 있지만 2014년 6월 11일까지는 사용할 수 없습니다. 변경 사항이 적용되면, Windows Authenticode 서명 확인의 새로운 기본 동작이 WIN_CERTIFICATE 구조의 추가 정보를 더 이상 허용하지 않습니다. 2014년 6월 11일 이후로는 Windows에서 비규격 바이너리가 더 이상 서명된 바이너리로 인식되지 않습니다.

    - 권장 사항:
    실행 파일 작성자는 2014년 6월 10일까지 WIN_CERTIFICATE 구조에 추가 정보가 포함되지 않게 하여 서명된 모든 바이너리가 변경된 새로운 확인 동작을 준수하도록 하는 것이 좋습니다. 
    또한 사용 중인 환경에서 이 변경 사항이 어떻게 작동하는지 철저하게 테스트하는 것이 좋습니다.


    최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
    해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS14-005 (중요) : Microsoft XML Core Services의 취약점으로 인한 정보 유출 문제점 (2916036)

    이 보안 업데이트는 Microsoft Windows에 포함된 Microsoft XML Core Services의 공개된 취약점을 해결합니다. 

    이 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 정보 유출을 허용할 수 있습니다. 공격자는 강제로 사용자가 특수하게 조작된 콘텐츠를 보도록 만들 수는 없습니다. 대신 공격자는 사용자가 공격자의 웹 사이트에 연결되는 전자 메일 메시지나 메신저 메시지에서 링크를 클릭하게 하거나 전자 메일을 통해 보낸 첨부 파일을 열도록 하는 등의 조치를 취하도록 유도해야 합니다.

    - MSXML 정보 유출 취약점(CVE-2014-0266)



    2. MS14-006 (중요) : IPv6의 취약점으로 인한 서비스 거부 문제점(2904659)

    이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 

    이 취약점으로 인해 공격자가 대량의 특수하게 조작된 IPv6 패킷을 영향을 받는 시스템으로 보낼 경우 서비스 거부가 발생할 수 있습니다. 이 취약점을 악용하려면 공격자의 시스템이 대상 시스템과 동일한 서브넷에 속해야 합니다.

    - TCP/IP 버전 6(IPv6) 서비스 거부 취약점(CVE-2014-0254)



    3. MS14-007 (긴급) : Direct2D의 취약점으로 인한 원격 코드 실행 문제점(2912390)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

    이 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 공격자는 강제로 사용자가 특수하게 조작된 콘텐츠를 보도록 만들 수는 없습니다. 대신 공격자는 사용자가 공격자의 웹 사이트에 연결되는 전자 메일 메시지나 메신저 메시지에서 링크를 클릭하게 하거나 전자 메일을 통해 보낸 첨부 파일을 열도록 하는 등의 조치를 취하도록 유도해야 합니다.

    - Microsoft 그래픽 구성 요소 메모리 손상 취약점(CVE-2014-0263)



    4. MS14-008 (긴급) : Exchange용 Microsoft Forefront Protection의 취약점으로 인한 원격 코드 실행 문제점(2927022)

     이 보안 업데이트는 비공개적으로 보고된 Microsoft Forefront의 취약점을 해결합니다. 

    특수하게 조작된 전자 메일 메시지가 스캔 된 경우 원격 코드 실행이 발생할 수 있습니다.

    - RCE 취약점(CVE-2014-0294)



    5. MS14-009 (중요) : .NET Framework의 취약점으로 인한 권한 상승 문제점(2916607)

     이 보안 업데이트는 Microsoft .NET Framework의 공개된 취약점 2건과 비공개적으로 보고된 취약점 1건을 해결합니다. 

    사용자가 특수하게 조작된 웹 사이트 또는 특수하게 조작된 웹 콘텐츠를 포함한 웹 사이트를 방문하는 경우 가장 위험한 취약점으로 인해 권한 상승이 발생할 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

    - POST 요청 DoS 취약점(CVE-2014-0253)

    - 유형 탐색 취약점(CVE-2014-0257)

    - VSAVB7RT ASLR 취약점(CVE-2014-0295)



    6. MS14-010 (긴급) : Internet Explorer 누적 보안 업데이트(2909921)

    이 보안 업데이트는 Internet Explorer의 공개된 취약점 1건과 비공개로 보고된 취약점 23건을 해결합니다. 

    가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 가장 위험한 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

    - Internet Explorer 여러 메모리 손상 취약점: CVE-2014-2067 외 21 개

    - Internet Explorer 권한 상승 취약점(CVE-2014-2068)

    - VBScript 메모리 손상 취약점(CVE-2014-2071)

    - Internet Explorer 도메인 간 정보 유출 취약점(CVE-2014-2093)



    7. MS14-011 (긴급) : VBScript 스크립팅 엔진의 취약점으로 인한 원격 코드 실행 문제점(2928390)

    이 보안 업데이트는 Microsoft Windows의 VBScript 스크립팅 엔진에서 비공개적으로 보고된 취약점을 해결합니다. 

    이 취약점으로 인해 사용자가 특수하게 조작된 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 공격자는 강제로 사용자가 웹 사이트를 방문하도록 할 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

    - VBScript 메모리 손상 취약점(CVE-2014-0271)



    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    국내 포탈사이트인 다음(Daum)에서 제공하는 서비스 중 게임과 관련 된 
    다음게임 스타터(DaumGame Starter) ActiveX 컨트롤러에서 원격실행코드가 가능한 취약점(CVE-2013-7246)이 발견되었다.


    [영향을 받는 소프트웨어 및 업데이트 버전]


     DaumGame ActiveX 1.1.0.4 & 1.1.0.5 버전 → DaumGame ActiveX 1.1.0.6 버전


    [(참고) 
    DaumGame ActiveX 정보]

    □ DaumGame ActiveX 1.1.0.5 버전 정보

    이름:                DaumGameCtrl Class

    게시자:               Daum Communications Corp.

    유형:                ActiveX 컨트롤

    버전:                1.1.0.5

    파일 날짜:             

    마지막으로 액세스한 날짜:     2014년 1월 8일 오늘, 1분 전

    클래스 ID:            {16B6A027-2732-4028-9303-EFE3E95EF766}

    사용 횟수:             5

    차단 횟수:             1

    파일:                DaumGameAX.dll

    폴더:                C:\Documents and Settings\Administrator\Application Data\DaumGameAX 

    □ DaumGame ActiveX 1.1.0.6 버전 정보

    이름:                DaumGameCtrl Class

    게시자:               Daum Communications Corp.

    유형:                ActiveX 컨트롤

    버전:                1.1.0.6

    파일 날짜:             

    마지막으로 액세스한 날짜:     2014년 1월 8일 오늘, 3분 전

    클래스 ID:            {16B6A027-2732-4028-9303-EFE3E95EF766}

    사용 횟수:             5

    차단 횟수:             1

    파일:                DaumGameAX.dll

    폴더:                C:\Documents and Settings\Administrator\Application Data\DaumGameAX



    "아래의 내용의 해킹과 이번 ActiveX 취약점과는
             관련이 없는 사항이라 "취소선"으로 표기하였습니다!!"


    해당 취약점은 2013년 12월 21일 새벽 해킹을 통해 알려지게 되었으며, 해킹 내용은 아래와 같다.

    안녕하세요.

    Daum 게임 입니다.


    12월 21일 토요일 새벽,

    다음게임에서 서비스 중인 채널링 게임중 1개 게임에서 서버 해킹 사건이 있었습니다.


    해당 게임은 채널링 게임으로, 제휴 파트너사에서 직접 관리를 하고 있으나

    해당 해킹 사건을 인지한 다음은 즉시 제휴 파트너사에 연락하여

    12월 21일 토요일 중에 모든 보안 취약성을 수정하여 해킹사건을 마무리 하였습니다.


    최근 해킹사건 등이 빈번하게 발생하고 있으나

    다음은 상시적인 보안 관리와 모니터링을 통해 적극적인 대응을 하고 있습니다.


    짧은 시간이었지만, 일부 이용자들에게 불편과 불안함을 드린점 양해 말씀 드립니다.


    이후에도 자체적인 보안 관리와 제휴사 모니터링을 통해

    보다 안전한 서비스를 진행할 수 있도록 최선의 노력을 다하겠습니다.


    지금 현재는 모든 게임을 안전하게 이용하실 수 있습니다.


    감사합니다.


    다음게임 드림.



    해당 취약점은 외국 보안업체에서 다음측으로 전달하여 다음에서는 2014년 1월 3일에 취약점이 패치되었다고 한다. 

    (※ 하지만 실제 설치 페이지에서는 아직 취약점 존재하는 버전(1.1.0.5)을 배포 중이다)
     

      

    ※ 최신 1.1.0.6 버전은 아래 링크에서 받을 수 있다.

    http://download.gamecdn.net/daumgame/publish/install/DaumGameAX_1_1_0_6.exe



    보안패치가 완료 된 후, 취약점을 발견 한 Trustwave 업체에서는 "PoC 코드" 를 공개하였으며, 

    취약점 내용은 DaumGame ActiveX 컨트롤러에서 아이콘 처리를 위해 사용하는 "IconCreate" 함수에서 버퍼오버플로우를 발생하여
    원격 코드 실행이 가능하다는 내용이다.


    실제 PoC코드를 확인하였더니, calc.exe 파일을 실행하는 내용이 확인되었다.


    자신의 PC에 "다음 게임 스타터" 가 설치되어 있는지 확인하기 위해서는 아래와 같이 확인 하면 된다.


    ① Internet Explorer 웹 브라우저의 도구 → 
    추가 기능 관리

    ② "모든 추가 기능" 메뉴를 선택
    ③ "DaumGameCtrl 
    Class" 항목을 선택

    버전이 "1.1.0.6" 아닐경우 위의 링크에서 최신 버전을 다운로드하여 설치하면 된
    다.


    Daum 게임을 더 이상 이용하지 않을 경우에는 제어판에 등록된 "Daum ActiveX 컨트롤 - 다음게임 스타터" 를 삭제해도
    무방하다. 




    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    국외 소프트웨어 전문 회사인 [오라클 자바(Oracle Java])에서 "Critical Patch Update(이하 CPU)"를 통해
    자사의 오라클 자바 SE 제품군(JDK & JRE 프로그램)의 보안업데이트가 공개되었습니다.


    이번 JDK and JRE 7 Update 45 업데이트에서는 51개의 보안 취약점이 해결되었으며, 이 중 50개는 사용자의 
    인증없이 원격코드 실행이 가능한 취약점(CVE-2013-5797 제외)을 해결 한 것으로 Java를 사용하는 컴퓨터라면
    반드시 업데이트하길 바랍니다.
    (CVE-2013-3829, CVE-2013-4002, CVE-2013-5772, CVE-2013-5774, CVE-2013-5775, CVE-2013-5776, CVE-2013-5777,
    CVE-2013-5778, CVE-2013-5780, CVE-2013-5782, CVE-2013-5783, CVE-2013-5784, CVE-2013-5787, CVE-2013-5788,
    CVE-2013-5789, CVE-2013-5790, CVE-2013-5797, CVE-2013-5800, CVE-2013-5801, CVE-2013-5802, CVE-2013-5803,
    CVE-2013-5804, CVE-2013-5805, CVE-2013-5806, CVE-2013-5809, CVE-2013-5810, CVE-2013-5812, CVE-2013-5814,
    CVE-2013-5817, CVE-2013-5818, CVE-2013-5819, CVE-2013-5820, CVE-2013-5823, CVE-2013-5824, CVE-2013-5825,
    CVE-2013-5829, CVE-2013-5830, CVE-2013-5831, CVE-2013-5832, CVE-2013-5838, CVE-2013-5840, CVE-2013-5842,
    CVE-2013-5843, CVE-2013-5844, CVE-2013-5846, CVE-2013-5848, CVE-2013-5849, CVE-2013-5850, CVE-2013-5851,
    CVE-2013-5852, CVE-2013-5854)


    [영향을 받는 소프트웨어 및 업데이트 버전]
     
     

    □ JDK and JRE 7 Update 40 버전 및 하위 버전 → JDK and JRE 7 Update 45 버전

     

    ※ JDK and JRE 6 버전 및 모든 하위 버전은 더 이상 보안 패치를 제공하지 않으므로 반드시 JDK and JRE 7 Update 45 버전으로 업데이트를 하시기 바랍니다.

    ※ 
    JDK & JRE 6 버전 및 모든 하위 버전 사용자는 프로그램 제거 후 JDK & JRE 7 Update 45버전 설치 권장



    - 업데이트 관련 내용 : http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

    Java™ SE Development Kit 7, Update 45 (JDK 7u45)

    The full version string for this update release is 1.7.0_45-b18 (where "b" means "build"). The version number is 7u45.

    Highlights

    Olson Data 2013d

    JDK 7u45 contains Olson time zone data version 2013d. For more information, refer to Timezone Data Versions in the JRE Software.

    Security Baselines

    The security baselines for the Java Runtime Environment (JRE) at the time of the release of JDK 7u45 are specified in the following table:

    JRE Family VersionJRE Security Baseline
    (Full Version String)
    7 1.7.0_45
    6 1.6.0_65
    5.0 1.5.0_55

    For more information about security baselines, see Deploying Java Applets With Family JRE Versions in Java Plug-in for Internet Explorer.

    JRE Expiration Date

    The expiration date for JRE 7u45 is 02/14/2014. After this date, Java will provide additional warnings and reminders to users to update to the newer version. For more information, see JRE Expiration Date.

    Blacklist Entries

    This update release includes a blacklist entry for a standalone JavaFX installer.

    JavaFX Release Notes

    JavaFX is now part of JDK. JDK 7u45 release includes JavaFX version 2.2.45.

    JDK for Linux ARM

    A JDK for Linux ARM is also available in this release.

    New Features and Changes


    Protections Against Unauthorized Redistribution of Java Applications

    Starting with 7u45, application developers can specify new JAR manifest file attributes:

    Application-Name: This attribute provides a secure title for your RIA.

    Caller-Allowable-Codebase: This attribute specifies the codebase/locations from which JavaScript is allowed to call Applet classes.

    JavaScript to Java calls will be allowed without any security dialog prompt only if:

    • JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it.
    • JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

    The JavaScript to Java (LiveConnect) security dialog prompt is shown once per AppletclassLoader instance.

    Application-Library-Allowable-Codebase: If the JNLP file or HTML page is in a different location than the JAR file, the Application-Library-Allowable-Codebase attribute identifies the locations from which your RIA can be expected to be started.

    If the attribute is not present or if the attribute and location do not match, then the location of the JNLP file or HTML page is displayed in the security prompt shown to the user.

    Note that the RIA can still be started in any of the above cases.

    Developers can refer to JAR File Manifest Attributes for more information.

    Restore Security Prompts

    A new button is available in the Java Control Panel (JCP) to clear previously remembered trust decisions. A trust decision occurs when the user has selected the Do not show this again option in a security prompt. To show prompts that were previously hidden, click Restore Security Prompts. When asked to confirm the selection, click Restore All. The next time an application is started, the security prompt for that application is shown.

    See Restore Security Prompts under the Security section of the Java Control Panel.

    JAXP Changes

    Starting from JDK 7u45, the following new processing limits are added to the JAXPFEATURE_SECURE_PROCESSING feature.

    • totalEntitySizeLimit
    • maxGeneralEntitySizeLimit
    • maxParameterEntitySizeLimit

    For more information, see the new Processing Limits lesson in the JAXP Tutorial.

    TimeZone.setDefault Change

    The java.util.TimeZone.setDefault(TimeZone) method has been changed to throw aSecurityException if the method is called by any code with which the security manager'scheckPermission call denies PropertyPermission("user.timezone", "write"). The new system property jdk.util.TimeZone.allowSetDefault (a boolean) is provided so that the compatible behavior can be enabled. The property will be evaluated only once when thejava.util.TimeZone class is loaded and initialized.

    Bug Fixes

    This release contains fixes for security vulnerabilities. For more information, see Oracle Critical Patch Update Advisory.

    Known Issues

    Area: Deployment/PlugIn
    Synopsis: JavaScript-> Java (LiveConnect) call fails silently if JavaScript/HTML and unsigned JAR/class files comes from different codebase host.

    If the portion of the codebase that specifies the protocol, host, and port, are not the same for the unsigned JAR file (or class files) as for the JavaScript or HTML, the code will fail without a mixed code dialog warning.

    You can work around this using one of the following approaches:

    • Put the JAR files (or class files) and the HTML/JavaScript on the same host.
    • Sign the JAR files. (Self signed can cause the LiveConnect dialog to show already; or add a manifest file that specifies the Caller-Allowable-Codebase attribute.)
    • Use the Deployment Rule Set (DRS) to allow the app and HTML to run without a warning.

    When specifying the codebase, using the Caller-Allowable-Codebase attribute or the Deployment Rule Set, make sure to list the domain where the JavaScript/HTML is hosted.

    Area: Deployment/Plugin
    Synopsis: Using the family CLSID to trigger loading of an applet does not work with certain JRE family versions.

    If you use the family CLSID to trigger loading of an applet with a certain JRE family version, the family CLISD will be ignored and the latest JRE version installed on your system is used to load the applet instead. Family CLSID is specific to Internet Explorer. The workaround is to use thejava_version applet parameter or the version attribute of the Java element in JNLP file instead.

     

    Area: Deployment/Plugin
    Synopsis: Certificate-based DRS rule does not work when main JAR is in nested resource block

    The certificate-based Deployment Rule Set rule does not work properly for JNLP applications when the main JNLP file has no JAR files, or all JAR files are in nested resource blocks nested in<java> or <j2se> elements.

    See 8026002.

    Area: Deployment/Plugin
    SynopsisCaller-Allowable-Codebase may be ignored when used with Trusted-Library.

    If a trusted, signed JAR file is using the Caller-Allowable-Codebase manifest attribute along with Trusted-Library then the Caller-Allowable-Codebase manifest entry will be ignored and, as a result, a JavaScript -> Java call will show the native LiveConnect warning. The workaround is to remove the Trusted-Library manifest entry.

    Area: Deployment/Plugin
    Synopsis: Applet could fail to load by throwing NPE if pack compression is used with deployment caching disabled.

    If a JAR file is using pack compression with manifest entries Permissions and Caller-Allowable-Codebase while deployment caching is disabled, then:

    • The Permissions manifest entry will be ignored. (This can be seen from the fact that yellow warning is there on security dialog even though the Permissions attribute is there.) This only happens if Caller-Allowable-Codebase attribute is present along with the Permissionsattribute.
    • The Caller-Allowable-Codebase attribute will cause the applet to fail to load by throwing ajava.lang.NullPointerException.

    If you want to use pack compression with the Caller-Allowable-Codebase attribute, there are two possible workarounds:

    • Enable caching and all issues listed will disappear.
    • Do not use the pack property jnlp.packEnabled=true while deploying the applets usingCaller-Allowable-Codebase and premissions property. Instead use the ContentTypeservlet for serving the pack files.

    Area: Deployment/Plugin
    Synopsis: Non-JNLP trusted applet fails to load using the file:\\ URL.

    Local trusted applets that do not deploy using a JNLP file will fail to load by throwing ajava.lang.NullPointerException. You can work around this issue by using one of the following methods:

    • Use a JNLP file to launch the applet.
    • Try loading the applet over HTTP or HTTPS.

    Area: Deployment/Plugin
    Synopsis: JNLP applet fails to load if using JNLP versioning.

    Due to this bug, if you are using the jnlp.versionEnabled property for JAR versioning in your browser applet, your applet might not start. Also users might see a yellow warning about a missingPermissions attribute in the following two scenarios:

    • The jnlp.versionEnabled property is set to false inside the JNLP file and the version is defined against the main JAR file.
    • You use JNLPDownloadServlet for version download support.

    The workaround is to either not use versioning via jnlp.versionEnabled, or to use theJNLPDownloadServlet servlet for version support instead.


    업데이트 방법은 자바의 자동 업데이트를 실행하던가,

    [제어판]에 가서 [JAVA] 를 실행시킨 후 [지금 업데이트] 하면 된다.




    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2013년 10월 보안 업데이트가 발표 되었습니다.

     
    이번 업데이트에는 Microsoft Windows, Internet Explorer, Microsoft .NET Framework, Microsoft Office, Microsoft Server
    소프트웨어, Microsoft Silverlight 제품군
    에서 발견된 보안 취약점(28건)을 해결한 8개의 보안 패치로 이루어져 있습니다.

    또한 9월 중순에 발견된 IE 0-Day 였던 Internet Explorer 메모리 손상 취약점(CVE-2013-3893)도 이번 보안업데이트에
    MS13-080로 패치가 되오니 
    꼭 보안업데이트를 받으시길 바랍니다.
    ※ 기존에 임시 제공되었던 CVE-2013-3893 패치(Microsoft Fix it 51001)를 적용하신 분들은 정규 보안 업데이트를 받기전에 반드시 삭제(Microsoft Fix it 51002)프로그램으로 삭제 하시고 공식 패치를 적용하시기 바랍니다.
    (삭제 프로그램(
    Microsoft Fix it 51002)은 위의 링크에서 다운받을 수 있습니다)


    최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
    해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS13-080 (긴급) : Internet Explorer 누적 보안 업데이트 (2879017)

    이 보안 업데이트는 Internet Explorer의 공개된 취약점 1건과 비공개로 보고된 취약점 9건을 해결합니다. 

    가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 가장 위험한 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3871)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3872)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3873)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3874)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3875)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3882)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3885)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3886)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3893)

    - Internet Explorer 메모리 손상 취약점(CVE-2013-3897)


    2. MS13-081 (긴급) : Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (2870008)

    이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 7건을 해결합니다. 

    이 중 가장 심각한 취약점으로 인해 사용자가 OpenType 또는 TrueType 글꼴 파일이 포함된 공유 콘텐츠를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템에 대해 완벽히 제어할 수 있습니다.

    - OpenType 글꼴 구문 분석 취약점(CVE-2013-3128)

    - Windows USB 설명자 취약점(CVE-2013-3200) 

    - Win32k 해제 후 사용 취약점(CVE-2013-3879)

    - 앱 컨테이너 권한 상승 취약점(CVE-2013-3880)

    - Win32k NULL 페이지 취약점(CVE-2013-3881)

    - DirectX 그래픽 커널 하위 시스템 이중 페치 취약점(CVE-2013-3888)

    - TrueType 글꼴 CMAP 테이블 취약점(CVE-2013-3894)


    3. MS13-082 (긴급) : .NET Framework의 취약점으로 인한 원격 코드 실행 문제점 (2878890)

    이 보안 업데이트는 Microsoft .NET Framework에 대해 비공개적으로 보고된 취약점 2건과 공개된 취약점 1건을 해결합니다. 

    가장 위험한 취약점으로 인해 사용자가 XBAP 응용 프로그램을 인스턴스화할 수 있는 브라우저를 통해 특수하게 조작된 OpenType 글꼴(OTF)이 포함된 웹 사이트를 방문하는 경우 원격 코드 실행이 허용될 수 있습니다.

    - OpenType 글꼴 구문 분석 취약점(CVE-2013-3128)

    - 엔터티 확장 취약점(CVE-2013-3860)

    - JSON 구문 분석 취약점(CVE-2013-3861)


    4. MS13-083 (긴급) : Windows 공용 컨트롤 라이브러리의 취약점으로 인한 원격 코드 실행 문제점 (2864058)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

    이 취약점으로 인해 공격자가 영향을 받는 시스템에서 실행되는 ASP.NET 웹 응용 프로그램으로 특수하게 조작된 웹 요청을 보내는 경우 원격 코드 실행이 허용될 수 있습니다. 공격자는 인증 없이 이 취약점을 악용하여 임의 코드를 실행할 수 있습니다.

    - Comctl32 정수 오버플로 취약점(CVE-2013-3195)


    5. MS13-084 (중요) : Microsoft SharePoint Server의 취약점으로 인한 원격 코드 실행 문제점 (2885089)

    이 보안 업데이트는 Microsoft Office Server 소프트웨어에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 

    가장 위험한 취약점으로 인해 사용자가 영향을 받는 버전의 Microsoft SharePoint Server, Microsoft Office Services 또는 Web Apps에서 특수하게 조작된 Office 파일을 여는 경우 원격 코드 실행이 허용될 수 있습니다.

    - Microsoft Excel 메모리 손상 취약점(CVE-2013-3889)

    - 매개 변수 주입 취약점(CVE-2013-3895)


    6. MS13-085 (중요) : Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점 (2885080)

    이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 

    취약점으로 인해 사용자가 영향을 받는 Microsoft Excel 버전 또는 영향을 받는 기타 Microsoft Office 소프트웨어에서 특수하게 조작된 Office 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

    - Microsoft Excel 메모리 손상 취약점(CVE-2013-3889)

    - Microsoft Excel 메모리 손상 취약점(CVE-2013-3890)


    7. MS13-086 (중요) : Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (2885084)

    이 보안 업데이트는 Microsoft Office에서발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 

    취약점으로 인해 영향을 받는 Microsoft Word 또는 영향을 받는 기타 Microsoft Office 소프트웨어에서 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

    - 메모리 손상 취약점(CVE-2013-3891)

    - 메모리 손상 취약점(CVE-2013-3892)


    8. MS13-087 (중요) : Silverlight의 취약점으로 인한 정보 유출 문제점 (2890788)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Silverlight의 취약점을 해결합니다. 

    공격자가 취약점을 악용할 수 있도록 특수하게 조작된 Silverlight 응용 프로그램을 포함한 웹 사이트를 호스팅하고 사용자가 웹 사이트를 보도록 유도하는 경우 이 취약점으로 인해 정보가 유출될 수 있습니다. 공격자는 사용자가 제공한 콘텐츠가 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트를 이용할 수도 있습니다. 이러한 웹 사이트에는 이 취약점을 악용할 수 있도록 특수하게 조작된 콘텐츠가 포함될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다. 배너 광고에서 특수하게 조작된 웹 콘텐츠를 표시하거나 웹 콘텐츠를 전달하는 다른 방법을 사용하여 영향을 받는 시스템에 대한 공격을 시도할 수도 있습니다.

    - Silverlight 취약점(CVE-2013-3896)





    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    포토샵과 플래시 등으로 유명한 미국 소프트웨어 업체인 어도비(Adobe)가 지난 10월 4일 확인되지 않은 외부공격을 받아
    약 290만명의 고객정보와 40GB에 달하는 어도비 제품의 소스코드가 외부에 유출되었다고 한
    다.

    정확한 사건은 2013년 8월 8일에 발생한 것으로 보이며, 유출 된 정보는 고객계정(ID), 암호화 된 비밀번호, 고객 실명,
    암호화 된 신용카드 / 현금카드 번호, 카드 유효기간, 고객 주문에 관련 된 정보(만료날짜
    , 기타정보)의 고객정보
    가 유출되었다고 한다.

    또한 유출 된 40GB 용량의 소스코드는 Adobe ColdFusion, Adobe Acrobat 제품을 비롯한 다양한 Adobe 제품군이
    포함되어 있다고 한다.

    자세한 내용은 아래 링크에서 확인 할 수 있다.

    어도비(Adobe) 사에서는 유출 된 정보들이 암호화 되어 있어서 해커들이 해독하지 못할 거라고 판단하지만,
    어렵게 가져간 정보인 만큼 나는 해독하리라 본다. 

    또한 이메일을 통해 유출 된 고객을 대상으로 개별통보를 통해 비밀번호를 교체하라고 전달하고 있다고 하니,
    혹시나 어도비의 계정을 가지신 분이 있다면 기본적으로 비밀번호 교체 및 신용카드 / 직불카드의 내용
    을 수정하는것이
    좋을 듯 하다.

    그나저나 소스코드까지 가져갔으면 얼마나 많은 취약점(Vulnerability)들이 발견될지 무섭다 ㅠㅠ


    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    2013년 9월 18일 Internet Explorer와 관련 된 제로데이(0-Day)취약점이 발견되었다.

    해당 취약점을 악용한 웹 페이지에 접속 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니, 해당 제품을 사용하시는 사용자들은
    보안 패치 적용 전까지 Internet Explorer 웹 브라우저를 이용하여 인터넷을 사용하지 않도록 주의하길 바란다.

    이번에 발견 된 Internet Explorer 취약점은 HTML 랜더링 엔진(mshtml.dll)의 Use After Free 취약점을 이용한 메모리 손상을 통해
    임의의 코드를 실행 할 수 있다는 내용이다.

    특히 이번 취약점은 모든 Internet Explorer 버전에 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.

    - 제로데이 공격이란?
    운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)

    ■ 영향을 받는 소프트웨어
    (모든 버전의 Internet Explorer 브라우저)

    - Internet Explorer 6 : Windows XP, Windows Server 2003

    - Internet Explorer 7 : Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008

    - Internet Explorer 8 : Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008
     
    - Internet Explorer 9 : Windows Vista, Windows 7, Windows Server 2008
     

    - Internet Explorer 10 : Windows 7, Windows 8, Windows Server 2008, Windows Server 2012, Windows RT

    - Internet Explorer 11 : Windows 8.1, Windows Server 2012, Windows RT 8.1


    현재 마이크로소프트(Microsoft)에서는 CVE-2013-3893 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포 행위가 발생함에
    따라 긴급 "Fix it(Microsoft Knowledge Base Article 2887505)"을 배포하고 있으니, 공식적인 패치가 나오기 전까지는 Fix it을 
    설치하여 
     CVE-2013-3893 취약점에 대한 임시적 해결을 할 수 있으니 참고하기 바란다.

     
    - Microsoft Fix it 51001 (Fix it 적용) : 파일 다운로드
    - Microsoft Fix it 51002 (Fix it 해제) : 파일 다운로드
     
    ※ 정식 보안 패치가 나오면 업데이트 전 해당 프로그램은 삭제 해야 된다. 잊지 마시길^^



    Fix it 솔루션이 발표는 되었지만, 정식 보안패치가 나올 때 까지 Internet Explorer 브라우저 사용을 최대한 자제해야 하며, 

    MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저(Mozilla Firefox, Google Chrome, Opera, Swing 등)를 
    사용하는 것이 
    안전하다.

    - 스윙 브라우저(Swing-browser) : http://swing-browser.com

    - 파이어폭스(Mozilla Firefox) : http://www.mozilla.or.kr/ko

    - 구글 크롬(Google Chrome) : http://www.google.com/chrome

    - 오페라(Opera) : http://www.opera.com/browser


    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    세계적인 러시아 보안회사 카스퍼스키(Kaspersky)가 한국 정부 및 정치기관, 연구소, 기업, 국방관련인원등 한국의 주요기관을
    대상으로 한 북한발 APT 공격(Kimsuky Operation)에 대한 분석 리포트를 공개하였다.

    초기 징후는 2013년 4월 3일이며, Trojan.Win32.Kimsuky 샘플은 2013년 5월 5일에 최초 발견되었다고 한다.

    관련 된 정보는 아래와 같다.

    국내 보안업체도 맞추지 못한 퍼즐을 외국 보안업체가 했다는것이 놀랍기도 하고,
    한편으로는 조금 창피한 것도 사실이다.

    좀 더 파일 하나하나 자세하게 살펴보고 싶은마은은 굴뚝같지만, 파일이 어디 한두개인가 ㅠㅠ
    아쉽지만 마음속에만 반성하고 이 포스팅을 이어가자!!

    이번 APT공격(Kimsuky Operation)의 주요 증상은 아래와 같다.

    - 키로깅 (사용자 정보 수집)
    - 디렉토리/파일 목록 수집 (PC드라이버 정보 및 파일리스트, 시스템정보 수집)
    - 한글(HWP) 문서 탈취 (모든 HWP 한글파일 수집)
    - 원격 제어 모듈 다운로드 및 수행 (TeamViewer 프로그램 변조 및 악성파일 다운로드)
    - 원격 제어 연결

    좀더 상세한 분석보고서는 아래 카스퍼스키 블로그에서 확인 할 수 있다

    - [분석 리포트] 북한인의 대한민국 내 주요 기관을 대상으로 한 APT 공격의 결정적 징후
    원본링크 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=789

    지난 몇 달 동안 우리는 대한민국의 주요 기관을 대상으로 한 사이버 스파이 활동을 모니터링 해 왔으며, 이 스파이 활동은 지금까지도 진행 중입니다. 이 스파이 활동이 계획과 실행에 있어서 주목할만하다고 생각되는 몇 가지 이유가 있습니다. 어느 날 우리는 무료 메일서버를 통해 "마스터"와 통신하는 다소 단순한 스파이 프로그램을 발견하였습니다.
     
    그렇지만, 우리의 주목을 끄는 몇 가지 흥미로운 점이 있었습니다.
     
    • 불가리아 무료 이메일 서버인 mail.bg가 사용되었다. 
    • 컴파일 경로에 한글이 포함되어 있다.

    한글이 사용되었고 불가리아 이메일을 명령-제어 통신에 사용한다는 두 가지 사실이 우리에게 해당 악성코드를 좀 더 자세히
    분석해야 할 필요가 있음을 알려 주었습니다.

    다음과 같이 악성코드 내에 포함된 절대 경로에 한글이 포함되어 있습니다.


    D:\rsh\공격\UAC_dll(완성)\Release\test.pdb


    "rsh"은 "Remote Shell"의 약자로 추측됩니다.
     
    피해자의 대부분을 정확히 알 수는 없었지만, 우리는 몇몇 대상을 식별할 수 있었으며, 이 활동에 의해 감염이 확인된 몇몇 기관은 다음과 같습니다; 세종연구소, 국방연구원, 통일부, 현대상선
     
    아울러 몇몇 단서는 "통일을 생각하는 사람들의 모임((http://www.unihope.kr/)"의 컴퓨터들이 이 공격에 효과적으로 대응을 하지
    못했다는 것 또한 알려주고 있습니다. 이외의 다른 기관들도 공격 대상이 되었는데, 총 피해 기관 중 11개는 대한민국이고 2개는
    중국이었습니다.
     
    이 공격은 매우 제한적이며 소수의 기관을 대상으로 하고 있기 때문에, 우리는 이 악성코드의 배포 경로를 확인할 수 없었으며, 
    모니터링을 시작하면서 우리가 발견한 이 악성코드 샘플은 대부분 피싱 이메일을 통해 배포되는 초창기 악성코드 형태를 가지고
    있었습니다.
     
     시스템 감염 방법

    최초 구동 프로그램은 실제 악성코드를 로딩하기 위한 DLL입니다. 그것은 익스포트된 상태를 유지하지 않고, 간단히 자신의 리소스 섹션에 다른 암호화된 라이브러리를 전달하는 역할을 하는데, 이 두 번째 라이브러리가 모든 스파이 기능을 수행합니다.
     
    윈도우7에서 동작할 때, 악성 라이브러리는 explorer.exe에 악성코드를 인젝션시키기 위해 Metasploit Framework의 오픈 소스
    코드인 Win7Elevate를 재사용합니다. 윈도우7이건 아니건, 이 악성코드는 리소스로부터 자신의 스파이 라이브러리를 복호화하여 디스크에 임의의 이름으로 저장합니다. 예를 들어, 사용자의 임시 폴더에 ~DFE8B437DD7C417A6D.TMP 파일 등으로 저장된 후 라이브러리로서 로드됩니다.
     
    다음 단계에서 이 라이브러리는 KBDLV2.DLL 또는 AUTO.DLL 등의 이름으로 System32 폴더에 복사됩니다. 다음으로 dll을 서비스하기 위한 서비스가 생성되는데, DriverManage, WebService 및 WebClientManager 등의 이름이 사용됨을 알 수 있었습니다.
    이렇게 함으로써 시스템 재부팅 시 백신 등의 보안 프로그램이 동작하지 않는 경우 악성코드가 지속적으로 실행되는 것을 보장받게 됩니다.
     
    이 단계에서 악성코드는 감염된 컴퓨터에 대한 정보를 수집하는데, systeminfo 명령어를 실행시킨 후 출력되는 정보를C:\Program Files\Common Files\System\Ole DB\oledvbs.inc파일에 저장하는 행위 등이 포함됩니다. 또한 컴퓨터 이름과 사용자 이름을 포함하는 스트링을 생성하기 위한 다른 함수가 호출되는데, 이는 어디에서도 실제로 사용되지 않기 때문에 악성코드 제작자의 실수인 것으로 보여집니다. 이 단계는 감염된 시스템이 처음 동작할 때 오직 한번만 실행되며, 시스템이 시작될 때, svchost.exe 프로세스에 의해 악성코드 라이브러리가 로딩된 후 스파이 활동을 수행하게 됩니다.
     
     
     
    스파이 모듈

    이 활동에는 다수의 악성코드가 동원되지만, 전략적으로 그들은 모두 하나의 스파이 기능을 위해 구현되었습니다. 이 활동에서
    마스터와 통신을 담당하는 기본 라이브러리(KBDLV2.DLL / AUTO.DLL) 이외에, 우리는 다음의 기능을 수행하는 모듈을 발견할 수 있었습니다;
     
    • 키스트록 로깅
    • 디렉토리/파일 목록 수집
    • HWP 문서 탈취
    • 원격 제어 모듈 다운로드 및 수행 
    • 원격 제어 연결
     
     
    방화벽 무력화

    시스템이 시작할 때, 기본 라이브러리는 다음과 같이 레지스트리 내 관련 값을 0으로 만들어서 시스템 방화벽과 안랩의 방화벽을
    무력화합니다;

    SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
        EnableFirewall = 0
    SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
        EnableFirewall = 0
    HKLM\SOFTWARE\AhnLab\V3IS2007\InternetSec
        FWRunMode = 0
    HKLM\SOFTWARE\Ahnlab\V3IS80\is
        fwmode = 0
     
    또한, 무력화된 방화벽에 대해 사용자에게 경고하는 것을 막기 위해 윈도우 보안센터 서비스를 끕니다.
     
    악성코드 제작자가 안랩의 보안 제품을 선택하여 무력화하는 것은 결코 우연이 아닙니다. Winnti 연구 기간 동안인 2011년에 SK 컴즈 사고를 자세히 살펴보면 (http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game 참조), 이 회사가 외국계 보안제품을 사용했다는 이유로 대한민국의 당국자에게 심각하게 비판을 받았음을 알 수 있습니다. 우리는 이러한 비판이 대한민국 기업에 어떠한 영향을 주었는지 알 수 없지만, 많은 대한민국 기업들이 안랩의 보안 제품을 사용하고 있다는 것은 알고 있습니다.
     
    이런 이유로, 공격자들은 오로지 대한민국만을 그들의 목표로 삼았기 때문에 외국계 회사의 제품을 무력화하기 위한 시도를 하지 않은 것입니다.
     
    한번 악성코드가 안랩 방화벽을 무력화하면, taskmgr.exe 파일이 하드코딩된 C:\WINDOWS\ 폴더에 존재하는지를 확인한 후 이를 실행합니다. 이 후, 악성코드는 매 30분마다 자신에게 보고를 반복하면서 명령을 기다립니다.
     
     
    통신

    봇과 공격자 사이의 통신은 불가리아의 무료 이메일 서버인 mail.bg를 이용합니다. 봇은 이메일 계정에 대한 하드코딩된 인증 정보를 포함하고 있으며, 인증 절차를 통과한 후, 악성코드는 또 다른 지정된 이메일 주소로 이메일을 전송하고 수신함의 이메일을 읽어 들입니다. 이들 모든 활동은 시스템의 Wininet API 함수를 사용한 mail.bg 웹-인터페이스를 통해 수행됩니다. 우리가 입수한 모든 샘플로부터 본 활동에 이용된 다음과 같은 이메일 계정을 추출할 수 있었습니다;
     
    beautifl@mail.bg
    ennemyman@mail.bg
    fasionman@mail.bg
    happylove@mail.bg
    lovest000@mail.bg
    monneyman@mail.bg
    sportsman@mail.bg
    veryhappy@mail.bg

    위에서 언급한 mail.bg 계정 이외에 봇이 사용한 두 개의 이메일 주소가 아래에 있는데, 이 이메일 주소를 이용하여 감염된 시스템의 정보와 상태를 첨부 파일로 보고합니다.
     
    iop110112@hotmail.com
    rsh1213@hotmail.com
     
     
    통상적인 보고

    감염 상태를 보고하기 위해 악성코드는 systeminfo 명령어의 출력 내용을 보관하고 있는  C:\Program Files\Common Files\System\Ole DB\oledvbs.inc 파일을 읽어 들이는데, 만약 해당 파일이 존재하면 읽은 후 삭제합니다.
     
    다음으로, 동일한 폴더 내 sqlxmlx.inc 파일로부터 사용자 관련 정보를 읽습니다(우리는 코드 내에 "UserID" 해설 부분을 볼 수 있습니다). 그러나 이 파일은 결코 생성되지 않으며, 단지 이러한 데이터를 수집하고sqlxmlx.inc 파일에 저장하는 함수가 존재할 뿐입니다. 그렇지만, 첫 번째 실행 단계에서 수집된 사용자 정보는 “xmlrwbin.inc” 에 저장되기 때문에, 악성코드 제작자가 실수로 다른
    파일에 사용자 정보를 저장하도록 봇을 코딩했을 가능성이 높습니다. 우리는 사용자 정보가 저장될 sqlxmlx.inc가 생성되지
    않는다는 것을 알고 있습니다. 그러나 만약 그 파일이 존재한다면, 악성코드는 그 파일을 읽고 지울 것입니다. 이러한 엉성함은
    악성코드가 급히 만들어졌거나, 아마추어에 의해 제작되었음을 나타낼 수 있습니다.
     
    다음으로, 가로챈 키스트록을 파일로부터 읽어 마스터로 전송합니다. 키스트록은 일반적이고 일관된 형식(어떤 키가 눌려졌는지와 함께 키보드 자판의 실제 시퀀스)으로 파일에 저장되어 보관됩니다. 이 데이터는 외부 키로거 모듈이 생성한 C:\Program Files\Common Files\System\Ole DB\msolui80.inc 파일에서 찾을 수 있습니다.
     
    이 모든 데이터는 하나의xmlrwbin.inc 파일로 합쳐져서 RC4로 암호화됩니다. RC4의 키는 임의로 생성된 75h 바이트 버퍼의  MD5 해시로 생성됩니다. 데이터의 복호화를 위해서는, 공격자는 MD5 해시값이나 버퍼의 모든 내용을 정확히 알아야 합니다. 이 데이터 또한 RSA로 암호화되어 전송됩니다. 악성코드는 1120 비트의 공개키를 생성하고 이를 75h 바이트 버퍼를 암호화하는데 사용합니다. 다음으로 다소 특이한 크기와 방법으로 전송될 모든 데이터를 0x80 바이트 버퍼에 담아 연결하는데, 결과 데이터는C:\Program Files\Common Files\System\Ole DB\ 경로에 다음 형식을 따르는 이름으로 저장합니다;
     
    "[system time]_[account at Bulgarian email server].txt", 예를 들면, "08191757_beautifl@mail.bg.txt".

    해당 파일은 이후에 이메일에 첨부되어 마스터의 이메일 계정으로 전송되며, 전송 후에는 피해 시스템에서 즉시 삭제됩니다. 
     
     
    마스터로부터의 데이터 수신

    악성코드는 또한 메일 서버로부터 명령을 가져오는데, 특정 제목이 붙은 불가리아 이메일 계정의 메일을 체크합니다. 우리는 이와 관련한 몇몇 제목 테크를 확인하였습니다: Down_0, Down_1, Happy_0 and ddd_3 . 첨부파일이 있는 이메일을 발견하면, 악성코드는 해당 첨부파일을 다운로드하여C:\Program Files\Common Files\System\Ole DB폴더에 “msdaipp.cnt”  파일로 저장합니다. 공격자는 이 같은 방법으로 추가적인 실행코드를 전송할 수 있습니다. 실행파일은 RC4로 암호화된 후 첨부되며, 복호화에 사용될 키는 악성 코드 샘플에 하드코딩되어 있습니다. 모든 알려진 샘플에 동일한 “rsh!@!#” 문자열이 포함되어 있고 이를 RC4 키를 생성하는데 이용한다는 점이 매우 흥미롭습니다. 앞서 설명한 바와 같이, 악성코드는 이 문자열의 MD5를 계산한 후, 실행코드를 복호화하기 위한 RC4로 해시하는데 사용합니다. 다음으로, 복호화된 실행코드를 “sqlsoldb.exe” 이름으로 디스크에 저장한 후 실행하고, “taskmgr.exe”로 이름이 변경됩니다. 이후 오리지날 이메일과 첨부파일은 불가리아 이메일 수신함에서 삭제됩니다.
     

    키로거

    추가적인 키로거 모듈은 크게 흥미롭지 않습니다-- 간단하게 키스트록을 가로채어 눌려진 키를 C:\Program Files\Common Files\System\Ole DB\msolui80.inc 파일에 저장하며, 사용자가 키를 눌렀을 때의 활성 윈도우 이름도 기록합니다. 우리는 이와 동일한 형태를 Madi 악성코드에서도 볼 수 있습니다. (http://www.kaspersky.com/about/news/virus/2012/kaspersky_lab_and_seculert_announce_madi_a_newly_discovered_cyber_espionage_campaign_in_the_middle_east 참조) 키스트록을 C:\WINDOWS\setup.log 에 기록하는 키로거 변형도 존재합니다.
     
     
    디렉토리/파일 목록 수집기

    감염 시스템으로 전송되는 다음 프로그램은 시스템의 모든 드라이브에 대하여 다음의 명령어를 실행합니다; 

    dir [drive letter]: /a /s /t /-c

    실제로, 이 명령어는C:\WINDOWS\msdatt.bat 파일로 기록되며, 화면 출력이 C:\WINDOWS\msdatl3.inc 파일에 저장됩니다.
    결과적으로, 저장된 파일은 드라이브의 모든 폴더에 있는 모든 파일의 목록을 담고 있기 때문에, 악성코드는 나중에 그 데이터를
    읽어서C:\Program Files\Common Files\System\Ole DB\oledvbs.inc 파일 내용에 추가합니다. 이 시점에서, “oledvbs.inc “ 는
    이미systeminfo 출력을 저장하고 있습니다.
     
     
     
    HWP 문서 탈취

    이 모듈은 감염된 컴퓨터에서 HWP 문서를 가로챕니다. HWP 파일 형식은 MS Word 문서와 유사하지만, 아래아 한글에 의해서 지원되며 한컴오피스의 번들인 한글워드프로세서로서 대한민국에서 매우 폭넓게 사용됩니다. 이 악성코드 모듈은 다른 모듈과는
    독립적으로 동작하며, 자신만의 불가리아 이메일 계정을 가지고 있는데, 계정은 가로챈 문서를 전송하는 마스터의 전자메일과 함께 모듈 내에 하드코딩되어 있습니다. 모듈이 감염된 컴퓨터의 모든 HWP 파일을 검색하지 않고 사용자가 오픈한 문서에만 반응하여 탈취한다는 점이 흥미롭습니다.  이 같은 특징은 문서 탈취 모듈에서는 매우 특이한 점이며, 다른 악성코드 툴킷에서는 볼 수 없는 특징입니다.
     
    프로그램은 자신을 [Hangul full path]\HncReporter.exe로 복사하고 HWP 문서를 오픈하는데 사용되는 기본 프로그램으로
    레지스트리 관련 정보를 수정합니다.
     
    HKEY_CLASSES_ROOT\Hwp.Document.7\shell\open\command
    또는
    HKEY_CLASSES_ROOT\Hwp.Document.8\shell\open\command

    기본적으로 .HWP 파일의 연결 프로그램은 "Hwp.exe"로 지정되어 있는데, 레지스트리 내 관련 정보는 "[Hangul full path]\Hwp.exe" "%1" 와 같습니다. 그러나 악성코드는 이 정보를 "[Hangul full path]\HncReporter.exe" "%1" 로 수정합니다. 따라서, 사용자가 임의의 .HWP 문서를 오픈할 때, 악성코드 프로그램 자신이 .HWP 문서를 오픈하기 위해 실행됩니다. 이는 레지스트리를 수정했기 때문에 가능합니다. HWP 문서가 읽혀지면 "Hwp"라는 제목의 이메일 첨부파일로 공격자에게 전달됩니다. 전송 후 악성코드는 사용자가 요청한 .HWP 문서를 실제 아래아 한글 워드프로세서인 "Hwp.exe"를 실행함으로써 오픈하게 됩니다. 이는, 피해자 대부분이 .hwp 파일이 탈취되었음을 알 수 없다는 것을 의미합니다. 모듈의 전송 루틴은C:\Program Files\Common Files\System\Ole DB 폴더
    내 다음의 파일에 따라 달라집니다: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt and oledjvs.inc
     
     
    원격 제어 모듈 다운로더

    나머지 프로그램은 특정 제목으로 수신된 이메일의 첨부 파일을 다운로드하기 위한 용도입니다. 이 프로그램은 주(pivot) 모듈과
    유사하지만, 하드코딩된 불가리아 이메일 계정, 로그인, 수신 이메일 읽기 및 "Team"이라는 제목 태그 검색 등으로 기능이 축소되었습니다. 이러한 이메일이 발견되면 첨부 파일을 로드하여 하드디스크 내C:\Program Files\Common Files\System\Ole DB\taskmgr.exe 파일로 저장하고 실행시킵니다. 이 경우는 실행 파일이 암호화 없이 전달됩니다.
     
     
    원격 제어 모듈

    악성코드 제작자가 백도어 프로그램을 스스로 제작한 것이 아니라는 점 또한 흥미롭습니다. 대신에, 제작자는TeamViewer client version 5.0.9104을 수정하였는데, 공격자에 의해 이메일로 전달된 원격 제어 모듈 관련 실행파일은 3개의 실행파일로 구성되어
    있습니다. 그 중 두개는 팀뷰어 컴포넌트이고 나머지는 몇 종류의 백도어 로더입니다. 드로퍼는 다음과 같은 세 개의 파일을C:\Windows\System32 디렉토리에 생성합니다;

          netsvcs.exe – 수정된 팀뷰어 클라이언트 
          netsvcs_ko.dll – 팀뷰어 클라이언트의 리소스 라이브러리
          vcmon.exe – 설치기/실행기

    이 후  “Remote Access Service” 서비스를 생성하여, 시스템이 부팅될 때C:\Windows\System32\vcmon.exe가 실행되도록 합니다. vcmon.exe가 실행될 때마다, 다음과 같이 레지스트리 관련 값을 0으로 만들어 안랩의 방화벽을 무력화합니다;

    HKLM\SOFTWARE\AhnLab\V3 365 Clinic\InternetSec
          UseFw = 0
          UseIps = 0

    다음으로, 팀뷰어 관련 레지스트리 설정을 수정합니다. 이미 언급한 바와 같이, 이 활동에 사용되는 팀뷰어 컴퍼넌트는 오리지날
    버전이 아니라   수정된 버전입니다. 우리는 모두 두 가지의 변형된 버전을 발견했습니다. 악성코드 제작자는 팀뷰어 컴퍼넌트
    내 모든 “Teamviewer” 문자열을 바꾸는데, 첫 번째 경우는“Goldstager” 문자열이고 두 번째는“Coinstager” 문자열이 사용됩니다. 팀뷰어 클라이언트 레지스트리 설정을 다음과 같습니다; HKLM\Software\Goldstager\Version5 및 HKLM\Software\Coinstager\Version5

    실행기는 원격 접근 도구가 어떻게 동작할 지와 관련한 몇몇 레지스트리 값을 설정합니다. 그 중 하나가 SecurityPasswordAES입니다. 이 파라미터는 팀뷰어 클라이언트에 접근해야 하는 원격 사용자 패스워드의 해시를 나타냅니다. 이 방법으로 공격자는 이미 공유된 인증 정보를 설정하고, 이후에 스타터가 팀뷰어 클라이언트 netsvcs.exe를 실행합니다.
     
     
    Kim (김)
    드롭박스 메일 계정 iop110112@hotmail.com와  rsh1213@hotmail.com가 "kim"으로 시작하는 "kimsukyang" 과 "Kim asdfa"라는 이름으로 등록되어 있다는 것은 매우 흥미롭습니다.
     
    물론 우리는 이것이 공격자의 실제 이름인지는 확신할 수 없습니다. 그렇지만, 이렇게 선택한 경우는 흔하지 않기 때문에, 아마도
    공격의 시작이 북한인임을 나타냅니다. 피해자의 프로파일을 살펴보면 - 대한민국 내 국제협력 관련 연구기관, 국방 정책 연구기관, 대형 해운사, 통일 지원 단체 - 인 것으로 보아 공격자가 북한인일 것이라 추측합니다.
     
    공격 대상은 완벽하게 공격자의 관심 거리입니다. 한편으로, 임의의 등록 정보를 입력하여 공격자에 대한 잘못된 조사를 유도하는 것은 그리 어렵지 않습니다. 가짜 등록 정보를 만들고 Hotmail 등록에 "kimsukyang"을 사용하는데 어떤 비용도 들지 않기 때문입니다. 우리는 이 등록 정보가 공격자에 대한 확실하고 명백한 정보를 제공하지 않는다고 인정합니다.
     
    그렇지만, 우리는 나중에 공격자의 소스 IP 주소에 관심을 가졌습니다. 총 10개의 IP 주소가 존재하였으며,
    이들 모두 중국의 지린성 및 랴오닝성의 IP 주소입니다.
     
     
    공격자의 활동 영역과 관련된 다른 IP 주소 영역은 발견되지 않았습니다. 아울러 이들 지역에서 인터넷 접근을 제공한 ISP 들은
    북한과 회선을 유지하고 있다는 소문도 있습니다. 결국, 이러한 지리적 위치는 북한인이 대한민국 내 주요 기관을 대상으로 한 공격의 책임이 있다는 이론을 뒷받침하고 있습니다.
     
     
    부록

    관련 모듈의 MD5:

    주 모듈 드로퍼:

    0x173c1528dc6364c44e887a6c9bd3e07c
    0x191d2da5da0e37a3bb3cbca830a405ff
    0x5eef25dc875cfcb441b993f7de8c9805
    0xb20c5db37bda0db8eb1af8fc6e51e703
    0xface9e96058d8fe9750d26dd1dd35876

    주 모듈:

    0x45448a53ec3db51818f57396be41f34f
    0x4a1ac739cd2ca21ad656eaade01a3182
    0x637e0c6d18b4238ca3f85bcaec191291
    0x80cba157c1cd8ea205007ce7b64e0c2a
    0xb3caca978b75badffd965a88e08246b0
    0xdbedadc1663abff34ea4bdc3a4e03f70

    키 로거:

    0x3ae894917b1d8e4833688571a0573de4
    0x8a85bd84c4d779bf62ff257d1d5ab88b
    0xf1389f2151dc35f05901aba4e5e473c7

    디렉토리/파일 목록 수집:

    0x3baaf1a873304d2d607dbedf47d3e2b4
    0x3195202066f026de3abfe2f966c9b304

    HWP 문서 탈취기:

    0xd0af6b8bdc4766d1393722d2e67a657b

    원격 제어 모듈 다운로더:

    0x9f7faf77b1a2918ddf6b1ef344ae199d
    Remote control bundle dropper:
    0x96280f3f9fd8bdbe60a23fa621b85ab6

    원격 제어 모듈 로더:

    0x122c523a383034a5baef2362cad53d57
    0x2a0b18fa0887bb014a344dc336ccdc8c

    수정된 팀뷰어 클라이언트 및 리소스 라이브러리:

    0xab73b1395938c48d62b7eeb5c9f3409d
    0x69930320259ea525844d910a58285e15

    카스퍼스키랩 안티바이러스는 수정된 팀뷰어 클라이언트 이외의 악성코드를 Trojan.Win32.Kimsuky, 수정된 팀뷰어 클라이언트 컴포넌트를 Trojan.Win32.Patched.ps 로 진단합니다.


    해당 악성파일들을 알약에서는 아래와 같이 탐지한다.
    (Backdoor.Agent.77824.C, Spyware.Infostealer.36864.A, Trojan.Agent.102400.A, Trojan.Agent.162304, Trojan.Agent.ntmsvcs,
     
    Trojan.Agent.HncReporter,  Trojan.Agent.Tader, Trojan.Downloader.77824, Trojan.Dropper.Agent.77824.C, 
     
    Trojan.Keylogger.36864)



    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.



    2013년 5월 7일 Internet Explorer 8과 관련 된 제로데이(0-Day)취약점이 발견되었다.

    해당 취약점을 악용한 웹 페이지에 접속 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니, 해당 제품을 사용하시는 사용자들은 
    보안 패치 적용 전까지 Internet Explorer 8 웹 브라우저를 이용하여 인터넷을 사용하지 않도록 주의 및 권장 방안을 적용바랍니다.

    이번에 발견 된 Internet Explorer 취약점은 CGenericElement 객체가 해제 될 때 발생되며, 잘못 된 메모리를 사용하고
    파일을 랜더링 하는 과정에서 사용자가 컨텍스트에서 임의의 코드를 실행할 수 있다는 내용
    이다.

    - 제로데이 공격이란?
    운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



    마이크로 소프트에서는 이번 취약점을 CVE-2013-1347 으로 명명하고, 추가 긴급 업데이트를 준비 중일 듯 하다.

    ■ 영향을 받는 소프트웨어
    - Internet Explorer 8 : Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008

    ■ 영향을 받지 않는 소프트웨어
    - Internet Explorer 6
    - Internet Explorer 7
    - Internet Explorer 9
    - Internet Explorer 10


    현재 2013년 5월 9일(한국시각)에 발표한 Microsoft Fix it 솔루션 50992,"CVE-2013-1347 MSHTML Shim Workaround"를 적용하면
    이 문제의 취약점을 방지할 수 있습니다. (Fix it 솔루션은 웹 브라우징에 영향을 미치지 않으며 재부팅이 필요 없습니다.)

    Fix it 솔루션이 발표는 되었지만, 정식 보안패치가 나올 때 까지 Internet Explorer 9 버전 이상으로 업그레이드 해야 하며
    MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저(Mozilla Firefox, Google Chrome, Opera, Swing 등)를
    사용하는 것이 
    안전하다.

    - 파이어폭스(Mozilla Firefox) : http://www.mozilla.or.kr/ko

    - 구글 크롬(Google Chrome) : http://www.google.com/chrome

    - 오페라(Opera) : http://www.opera.com/browser

    - 스윙 브라우저(Swing-browser) : http://swing-browser.com


    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.



    오라클 자바(Oracle Java)에서 제공하는 JDK & JRE 프로그램의 보안업데이트가 공개되었습니다.

     

    이번 JDK and JRE 7 Update 21 업데이트에서는 42개의 보안 취약점이 해결되었으며, 이 중 39개는 사용자의 
    인증없이 원격코드 실행이 가능한 취약점을 해결 한 것으로 Java를 사용하는 컴퓨터라면 반드시 업데이트하길 바랍니다.
    (CVE-2013-0401, CVE-2013-0402, CVE-2013-1488, CVE-2013-1491, CVE-2013-1518, CVE-2013-1537, CVE-2013-1540,
    CVE-2013-1557, CVE-2013-1558, CVE-2013-1561, CVE-2013-1563, CVE-2013-1564, CVE-2013-1569, CVE-2013-2383,
    CVE-2013-2384, CVE-2013-2394, CVE-2013-2414, CVE-2013-2415, CVE-2013-2416, CVE-2013-2417, CVE-2013-2418,
    CVE-2013-2419, CVE-2013-2420, CVE-2013-2421, CVE-2013-2422, CVE-2013-2423, CVE-2013-2424, CVE-2013-2425,
    CVE-2013-2426, CVE-2013-2427, CVE-2013-2428, CVE-2013-2429, CVE-2013-2430, CVE-2013-2431, CVE-2013-2432,
    CVE-2013-2433, CVE-2013-2434, CVE-2013-2435, CVE-2013-2436, CVE-2013-2438, CVE-2013-2439, CVE-2013-2440)


    [영향을 받는 소프트웨어 및 업데이트 버전]
     
     

    □ JDK and JRE 7 Update 17 버전 및 하위 버전 → JDK and JRE 7 Update 21 버전


    □ JDK and JRE 6 Update 43 버전 및 하위 버전 → JDK and JRE 6 Update 45 버전


    □ JDK and JRE 5.0 Update 41 버전 및 하위 버전 → JDK and JRE 5.0 Update 43 버전


    □ JavaFX 2.2.7 버전 및 하위 버전 → JavaFX 2.2.21 버전



    또한 이번 업데이트에서는 중요한 기능개선이 포함 되어 있습니다.

    1. Java 제어판 보안 설정 변경 사항
    - 낮음 및 사용자 정의 설정이 보안 슬러이더에서 제거
    (기존의 "사용자", "낮음" 설정 부분을 제거한 "5단계 → 3단계"로 슬라이드바 축소)



    2. 보안 대화상자 변경
    - HTTPS 보안 경고 및 혼합 코드 소스에 대한 보안 대화상자 업데이트

    Java에서 업데이트를 확인할 때 'jucheck.exe' 대신 프로그램 이름 'Java 자동 업데이트' 표시



    - 업데이트 관련 내용 : http://www.oracle.com/technetwork/java/javase/7u21-relnotes-1932873.html

    Java™ SE Development Kit 7, Update 21 (JDK 7u21)

    The full version string for this update release is 1.7.0_21-b11 (where "b" means "build") except for Mac OS X for which it is 1.7.0_21-b12. The version number is 7u21.

    Highlights

    This update release contains several enhancements and changes including the following:

    Olson Data 2012i

    JDK 7u21 contains Olson time zone data version 2012i. For more information, refer to Timezone Data Versions in the JRE Software.

    Security Baselines

    The security baselines for the Java Runtime Environment (JRE) at the time of the release of JDK 7u21 are specified in the following table:

    JRE Family VersionJRE Security Baseline
    (Full Version String)
    7 1.7.0_21
    6 1.6.0_45
    5.0 1.5.0_45

    For more information about security baselines, see Deploying Java Applets With Family JRE Versions in Java Plug-in for Internet Explorer.

    JRE Expiration Date

    The expiration date for JRE 7u21 is 07/18/2013.

    Blacklisted Jars and Certificates

    Oracle now manages a certificate and jar blacklist repository. This data is updated on client computers daily on the first execution of a Java applet or web start application.

    Changes to Java Control Panel's Security Settings

    In this release, low and custom settings are removed from the Java Control Panel(JCP)'s Security Slider.

    Depending on the security level set in the Java Control Panel and the user's version of the JRE, self-signed or unsigned applications might not be allowed to run. The default setting of High permits all but local applets to run on a secure JRE. If the user is running an insecure JRE, only applications that are signed with a certificate issued by a recognized certificate authority are allowed to run.

    For more information, see the Security section of the Java Control Panel documentation.

    Changes to Security Dialogs

    As of JDK 7u21, JavaScript code that calls code within a privileged applet is treated as mixed code and warning dialogs are raised if the signed JAR files are not tagged with the Trusted-Library attribute.

    For more information, see Mixing Privileged Code and Sandbox Code documentation.

    The JDK 7u21 release enables users to make more informed decisions before running Rich Internet Applications (RIAs) by prompting users for permissions before an RIA is run. These permission dialogs include information on the certificate used to sign the application, the location of the application, and the level of access that the application requests. For more information, seeUser Acceptance of RIAs.

    Changes to RMI

    From this release, the RMI property java.rmi.server.useCodebaseOnly is set to true by default. In previous releases the default value was false.

    This change of default value may cause RMI-based applications to break unexpectedly. The typical symptom is a stack trace that contains a java.rmi.UnmarshalException containing a nestedjava.lang.ClassNotFoundException.

    For more information, see RMI Enhancements.

    Server JRE

    A new Server JRE package, with tools commonly required for server deployments but without the Java plug-in, auto-update or installer found in the regular JRE package, is available starting from this release. The Server JRE is specifically targeted for deploying Java in server environments and is available for 64-bit Solaris, Windows and Linux platforms. For more information on installing this package, see Installation Instructions.

    Some of the tools included in the initial release of the Server JRE package, may not be available in future versions of the Server JRE. Please check future release notes for tools availability if you use this package.

    JDK for Linux on ARM

    JDk 7u21 release includes support for JDK for Linux on ARM. The product offers headful support for ARMv6 and ARMv7.

    The following JDK features are not included or supported in this product:

    • Java WebStart
    • Java Plug-In
    • Garbage First (G1) Collector
    • JavaFX SDK or JavaFX Runtime

    In addition, some features of the Serviceability Agent are also not available for Linux on ARM platform.

    Java support on ARM is specific to the GNOME Desktop Environment version 1:2.30+7.

    Changes to Runtime.exec

    On Windows platform, the decoding of command strings specified to Runtime.exec(String),Runtime.exec(String,String[]) and Runtime.exec(String,String[],File) methods, has been improved to follow the specification more closely. This may cause problems for applications that are using one or more of these methods with commands that contain spaces in the program name, or are invoking these methods with commands that are not quoted correctly.

    For example, Runtime.getRuntime().exec("C:\\My Programs\\foo.exe bar") is an attempt to launch the program "C:\\My" with the arguments "Programs\\foo.exe" and "bar". This command is likely to fail with an exception to indicate "C:\My" cannot be found.

    The example Runtime.getRuntime().exec("\"C:\\My Programs\\foo.exe\" bar") is an attempt to launch the program "\"C:\\My". This command will fail with an exception to indicate the program has an embedded quote.

    Applications that need to launch programs with spaces in the program name should consider using the variants of Runtime.exec that allow the command and arguments to be specified in an array.

    Alternatively, the preferred way to create operating systems processes since JDK 5.0 is usingjava.lang.ProcessBuilder. The ProcessBuilder class has a much more complete API for setting the environment, working directory and redirecting streams for the process.

    Bug Fixes

    This release contains fixes for security vulnerabilities. For more information, see Oracle Java SE Critical Patch Update Advisory.


    업데이트 방법은 자바의 자동 업데이트를 실행하던가,

    [제어판]에 가서 [JAVA] 를 실행시킨 후 [지금 업데이트] 하면 된다.




    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    오라클사에서는 2013년 2월 28일에 [FireEye]에서 발표 한 Java 0-Day Exploit(CVE-2013-1493)의 취약점을 수정한
    "Oracle Java SE Runtime Environment 7 Update 17(1.7.0_17-b02)" 보안 업데이트를 발표하였다.




    Java 0-Day Exploit(CVE-2013-1493)와 관련 된 내용은 아래의 사이트에서 확인 할 수 있다.


    이번 업데이트 Java SE Runtime Environment 7 Update 17은  CVE-2013-1493 뿐만 아니라 CVE-2013-0809 에 대한 취약점을
    해결 한 것으로 Java를 사용하는 컴퓨터라면 반드시 업데이트하길 바란다.

    [영향을 받는 소프트웨어 및 업데이트 버전]
     
     

    □ JDK and JRE 7 Update 15 버전 및 하위 버전 → JDK and JRE 7 Update 17 버전


    □ JDK and JRE 6 Update 41 버전 및 하위 버전 → JDK and JRE 6 Update 43 버전


    □ JDK and JRE 5.0 Update 40 버전 및 하위 버전 → JDK and JRE 5.0 Update 41 버전



    - 업데이트 관련 내용 : http://www.oracle.com/technetwork/java/javase/7u17-relnotes-1915289.html

    Java™ SE Development Kit 7, Update 17 (JDK 7u17)
    The full version string for this update release is 1.7.0_17-b02 (where "b" means "build") and the version number is 7u17.

    Olson Data 2012i
    JDK 7u17 contains Olson time zone data version 2012i. For more information, refer to Timezone Data Versions in the JRE Software.

    Security Baselines
    The security baselines for the Java Runtime Environment (JRE) at the time of the release of JDK 7u17 are specified in the following table:

    JRE Family Version JRE Security Baseline(Full Version String)
                  7                                1.7.0_17
                  6                                1.6.0_43
                 5.0                         1.5.0_41
     

    Bug Fixes
    This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-1493.



    업데이트 방법은 자바의 자동 업데이트를 실행하던가,
    [제어판]에 가서 [JAVA] 를 실행시킨 후 [지금 업데이트] 하면 된다.



    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    지난 2월 27일 Adobe 사의 Adobe 사의 Flash Player 3건의 취약점이 해결 된 보안 업데이트가 공지되었다.

    이번 업데이트에는 "시스템 크래쉬, 공격자의 시스템 제어 권한 획득" 등 문제를 해결한 보안 패치가 포함되어 있다.


    특히, Firefox 웹 브라우저 사용자가 악성 Flash 컨텐츠가 포함된 웹 사이트에 접속할 경우 원격코드실행이 가능한 공격이
    유포되고 있어 주의가 필요하오니, 
    해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바람!!

    아래의 링크에서 업데이트에 대한 정보를 확인 할 수 있으니, 해당 제품을 사용하는 사용자들은 업데이트를 꼭 하길 바란다.

    ■ 영향 받는 소프트웨어

     - 윈도우 11.6.602.168 및 이전버전

     - Mac 11.6.602.167 및 이전버전

     - 리눅스 11.2.202.270 및 이전버전

     - 인터넷익스플로러 10 11.6.602.167 및 이전버전


    ※ Windows, Macintosh, Linux 운영 체제용 구글 크롬(Google Chrome) 웹 브라우저 사용자는 웹 브라우저 업데이트를 
    이용하여 자체 내장된 Adobe Flash Player 11.6.602.171 버전을 이용하시기 바랍니다.

     

    ※ Windows 8 운영 체제용 Internet Explorer 10 웹 브라우저 사용자는 Windows Update 기능을 이용하여 자체 내장된 Adobe Flash Player 11.6.602.171 버전을 업데이트 하실 수 있습니다.

    ■ 취약점 정보
    - Flash Player 파이어폭스 샌드박스에서 발생하는 권한문제 (CVE-2013-0643)
    - 액션스크립트 기능을 사용하여 악성코드 실행에 악용할 수 있는 취약점 (CVE-2013-0648)
    - 코드실행으로 이어질 수 있는 버퍼오버플로우 취약점 (CVE-2013-0634) 


    ※ Adobe Flash Player 업데이트 방법
    1. 제어판에서 "Flash Player" 를 선택 후, "고급' 탭으로 이동
    2. 현재 버전을 확인



    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    오라클사에서는 2013년 1월 2일에 확인 된 Java 0-Day Exploit(CVE-2013-0422)의 취약점을 수정한 보안 업데이트를 발표하였다.

    Java 0-Day Exploit(CVE-2013-0422)의 내용은 아래의 사이트에서 확인 할 수 있다.


    이번 업데이트 Java SE Runtime Environment 7 Update 11 는  CVE-2013-0422 뿐만 아니라 CVE-2012-3174 에 대한 취약점을
    해결 한 것으로 Java를 사용하는 컴퓨터라면 반드시 업데이트하길 바란다.

    [영향을 받는 소프트웨어 및 업데이트 버전]

     

    □ JDK & JRE 7 Update 10 버전 및 하위 버전 → Oracle Java SE Runtime Environment 7 Update 11 버전

     

    ※ JDK & JRE 6, 5.0, 1.4.2 버전대 프로그램에서는 영향을 받지 않는다.



    - 업데이트 관련 내용 : http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

    Java™ SE Development Kit 7, Update 11 (JDK 7u11)
    The full version string for this update release is 1.7.0_11-b21 (where "b" means "build") and the version number is 7u11.

    Olson Data 2012i
    JDK 7u11 contains Olson time zone data version 2012i. For more information, refer to Timezone Data Versions in the JRE Software.

    Security Baselines
    The security baselines for the Java Runtime Environment (JRE) at the time of the release of JDK 7u11 are specified in the following table:

      JRE Family Version JRE Security Baseline(Full Version String)
    7        1.7.0_11
    6         1.6.0_37
    5.0         1.5.0_38
    1.4.2         1.4.2_40

    Reminder
    If you have disabled Java in the Java Control Panel, you will need to manually re-enable it after installing this release.
    You can find the check box in the Security tab of the Java Control Panel.

    If you have previously disabled Java Plugin in the browser, you will need to manually re-enable it after installing this release. In Firefox, you can do this in the Add Ons -> Plugin screen. In Internet Explorer, this functionality is located in Tools -> Manage Add-ons.

    Bug Fixes
    This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422.
    In addition, the following change has been made:

    Area: deploy
    Synopsis: Default Security Level Setting Changed to High
    The default security level for Java applets and web start applications has been increased from "Medium" to "High". This affects the conditions under which unsigned (sandboxed) Java web applications can run. Previously, as long as you had the latest secure Java release installed applets and web start applications would continue to run as always. With the "High" setting the user is always warned before any unsigned application is run to prevent silent exploitation.

    Known Issues
    Area: deploy/jcp
    Synopsis: The Java Control Panel Doesn't Show Security Level Slider

    In the 7u10 release of the JRE, a slider was added to the Security tab of the Java Control Panel (JCP). This slider allows you to set the level of security of apps that run in the browser (by using Java Plugin) to Very High, High, Medium, or Low. In some cases, when a standalone copy of JavaFX 2.x has also been installed, the Security tab of the JCP does not display the security level slider.

    Workaround: Uninstall the standalone JavaFX 2.x.

    Area: deploy
    Synopsis: Problems with Registration of Plugin on Systems with Stand-alone Version of JavaFX Installed

    Problems with Registration of Plugin on Systems with Stand-alone Version of JavaFX Installed Users that have a JRE 6 release, Java FX 2.x release and JRE 7 all installed will have problems upgrading to the latest JRE 7 release due to a bug in version comparison logic.

    Workaround: Uninstall the standalone JavaFX 2.x.

    For more information, see 8005410 (will be fixed in the next update release).



    업데이트 방법은 자바의 자동 업데이트를 실행하던가,
    [제어판]에 가서 [JAVA] 를 실행시킨 후 [지금 업데이트] 하면 된다.

     

    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    2013년 01월 15일 마이크로소프트의 긴급 업데이트가 발표되었다.

    긴급 업데이트 내용은 지난 2012년 12월 말쯤에 공개 된 Microsoft Internet Explorer 6, 7, 8 웹 브라우저의
    제로데이(0-Day) 취약점(CVE-2012-4792)에 대한 보안 패치이다.

    0-Day가 나오고 난 후 많은 국내 사이트들에서 해당 취약점을 이용하였으며, 지금도 배포 중인 곳도 존재한다.

    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS13-008(긴급) : 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 보안 업데이트는 Internet Explorer가 메모리에서 개체를 처리하는 방법을 수정하여 취약점을 해결합니다. 
    - Internet Explorer Use After Free Vulnerability (CVE-2012-4792)


     
    ※ 금일 나온 보안 업데이트이기 때문에 꼭 패치하시길 바란다!!
     





    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2013년 1월 보안 업데이트가 발표되었습니다.
     
    이번 업데이트에서는 Microsoft Windows, Microsoft Office, Microsoft 개발자도구, Microsoft Server Software,
    Microsoft .NET Framework 제품군에서 발견된 보안 취약점(12건)을 해결한 보안 패치(7개)가 포함되어 있습니다.
     
    최신 버전이 아닌 상태에서 해당 제품 사용시 "원격 코드 실행, 권한 상승, 보안 기능 우회, 서비스 거부 등"
    보안위협에 쉽게 노출될 수 있으니, 해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용바랍니다.

    <중요>
    이번 정기보안 업데이트에서는 2012년 12월말에 공개 된 Internet Explorer 웹 브라우저의 제로데이(0-Day)
    취약점(CVE-2012-4792)에 대한 공식 보안 패치가 포함되어 있지 않습니다. 


    Internet Explorer 6, 7, 8 웹 브라우저 버전을 사용하시는 분들은 반드시 "Microsoft Fix it 50971" 임시 Fix it을 설치하여, 
    위험한 사이트 방문시 안전하게 사용하시길 바랍니다.


    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS13-001(긴급) : Windows 인쇄 스풀러 구성 요소의 취약점으로 인한 원격 코드 실행 문제점(2769369)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다. 

    이 취약점으로 인해 클라이언트가 특수하게 조작된 응답을 받을 경우 원격 코드 실행이 허용될 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 직접 연결되는 시스템의 경우 필요한 포트만 최소한으로 열어 두는 것이 안전합니다

    - Windows 인쇄 스풀러 구성 요소 취약점(CVE-2013-0011)


    2. MS13-002(긴급) : Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점 (2756145)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft XML Core Services의 취약점 2건을 해결합니다. 

    이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

    - MSXML 정수 잘림 취약점(CVE-2013-0006)

    - MSXML XSLT 취약점(CVE-2013-0007)


    3. MS13-003(중요) : System Center Operations Manager의 취약점으로 인한 권한 상승 문제점 (2748552)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft System Center Operations Manager의 취약점 2건을 해결합니다. 

    이 취약점으로 인해 사용자가 특수하게 조작된 URL을 통해 영향을 받는 웹 사이트를 방문할 경우 권한 상승이 허용될 수 있습니다. 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 영향을 받는 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

    - System Center Operations Manager 웹 콘솔 XSS 취약점(CVE-2013-0009)

    - System Center Operations Manager 웹 콘솔 XSS 취약점(CVE-2013-0010)


    4. MS13-004(중요) : .NET Framework의 취약점으로 인한 권한 상승 문제점 (2769324)

    이 보안 업데이트는 .NET Framework에서 발견되어 비공개적으로 보고된 취약점4건을 해결합니다. 

    이 중 가장 심각한 취약점은 사용자가 XAML 브라우저 응용 프로그램(XBAP)을 실행하는 웹 브라우저에서 특수하게 조작된 웹 페이지를 보는 경우 유발되는 권한 상승입니다. 이 취약점은 CAS(코드 액세스 보안) 제한을 우회하기 위해 Windows .NET 응용 프로그램에서 사용될 수도 있습니다. 이러한 취약점을 성공적으로 악용한 공격자는 로그온 한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

    - System Drawing 정보 유출 취약점(CVE-2013-0001)

    - WinForms 버퍼 오버플로 취약점(CVE-2013-0002)

    - S.DS.P 버퍼 오버플로 취약점(CVE-2013-0003)

    - 이중 구성 취약점(CVE-2013-0004)


    5. MS13-005(중요) : Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778930)

    이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다. 

    이 취약점으로 인해 공격자가 특수하게 조작된 응용 프로그램을 사용할 경우 권한 상승이 허용될 수 있습니다.

    - Win32k 부적절한 메시지 처리 취약점(CVE-2013-0008)


    6. MS13-006(중요) : Microsoft Windows의 취약점으로 인한 보안 기능 우회 (2785220)

    이 보안 업데이트는 Microsoft Windows의 SSL 및 TLS 구현에서 비공개적으로 보고된 취약점을 해결합니다. 

    이 취약점으로 인해 공격자가 암호화된 웹 트래픽 핸드셰이크를 가로챌 경우 보안 기능을 우회할 수 있습니다.

    - Microsoft SSL 버전 3 및 TLS 프로토콜 보안 기능 우회 취약점(CVE-2013-0013)


    7. MS13-007(중요) : Open Data 프로토콜의 취약점으로 인한 서비스 거부 (2769327)

    이 보안 업데이트는 OData(Open Data) 프로토콜의 비공개적으로 보고된 취약점을 해결합니다. 

    이 취약점으로 인해 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 영향을 받는 사이트에 전송할 경우 서비스 거부가 발생할 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

    - 교체 서비스 거부 취약점(CVE-2013-0005)




    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    자바취약점 0-Day가 나오고 보안패치가 나온지 얼마나 되었다고, 또 자바 취약점이 발견되었다.

    이번 취약점은 외국 보안전문 회사인 시큐리티 익스플로레이션(Security Exploration)에서 발견되었으며
    윈도우 7 32Bit 테스트를 하였으며 자바 SE 5,6,7 버전에서 "자바 시큐리티 샌드박스"를 우회할 수 있는 취약점이 있다고 한다.

    현재 자바를 설치 한 PC는 약 10억만명(1,000,000,000)이라고 오라클에서 제공하는 설치 통계에 나와 있다고 한다.
    그 만큼 자바를 많이 사용하고 설치 되어 있는데, 이런 취약점을 발견 시 오라클에서는 빠르게 조치를 해야 할 것이다.

    아직 정확한 취약점 정보나 POC 코드는 나오지 않았지만, 암튼 조심해야 한다;;

    현재까지 확인 된 사항이다.

    ■ 취약한 자바 버전

    - Java SE 5 Update 22 (build 1.5.0_22-b03)
    - Java SE 6 Update 35 (build 1.6.0_35-b10)
    - Java SE 7 Update 7  (build 1.7.0_07-b10)

    ■  테스트 환경(Win7 32Bit)에서 취약점을 이용할 수 있는 브라우저
    - Firefox 15.0.1
    - Google Chrome 21.0.1180.89
    - Internet Explorer 9.0.8112.16421 (update 9.0.10)
    - Opera 12.02 (build 1578)
    - Safari 5.1.7 (7534.57.2)


    현재 해당 취약점은 아직 악성코드로 이용되는 제로데이(0-Day)는 아니나, 언제 발생될 지 모르는 상황이니
    사용자는 인터넷 사용시 유의 해야 하며, 
    아래의 수동적인 방법으로 취약점을 우회 할 수는 있으니, 참고하시기 바람!!

    <브라우저 별 자바 애플릿 보안기능 설정 방법>
     
    - MS Internet Explorer
    [도구]-[인터넷 옵션]-[보안]-[사용자 지정 수준]-[스크립팅]-[Java 애플릿 스크립팅]을 "사용 안 함"으로 선택
     
    - Mozilla Firefox
    [도구]-[부가 기능]-[플러그인]-[Java(TM) Platform SE]을 "사용 안 함" 으로 선택
     
    - Google Chrome
    [도구]-[설정]-[고급]-[컨텐츠설정]-[플러그인]에서 "개별 플러그인 사용 중지" 선택 후 Java 사용 중지



    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    2012년 9월 22일 마이크로소프트의 긴급 업데이트가 있었다.

    긴급 업데이트 내용은 지난 9월 14일 execCommand Use After Free (CVE-2012-4969) 0-Day 취약점에 대한 보안 패치이다.
    0-Day가 나오고 난 후 많은 사이트들에서 해당 취약점을 이용하였으며, 지금도 배포 중인 곳도 존재한다.

    MS사는 긴급처방으로 "Fix it" 을 배포 하였으며, 9월 22일 긴급 보안 업데이트를 발표했다.


    이전에 "Fix it" 으로 프로그램을 설치 한 분들은 우선 Fix it을 삭제 후 보안업데이트를 받아야 한다.




    ※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

    1. MS12-063(긴급) : 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있스니다. 보안 업데이트는 Internet Explorer가 메모리에서 개체를 처리하는 방법을 수정하여 취약점을 해결합니다.
    - OnMove Use After Free Vulnerability (CVE-2012-1529)
    - Event Listener Use After Free Vulnerability (CVE-2012-2546)
    - Layout Use After Free Vulnerability(CVE-2012-2548)
    - cloneNode Use After Free Vulnerability(CVE-2012-2557)
    - execCommand Use After Free Vulnerability (CVE-2012-4969)






    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.


    이번에 발견 된 Internet Explorer 취약점(0-Day : CVE-2012-4969)의 임시방법인 Fix it이 공개되었다.
    이로써 주말이 되기 전 사용자에게 조금이나마 도움이 되기를 바란다 ㅠ_ㅠ

    ※ Microsoft Fix it 이란?
    - 문제 원인이나 정보를 파악하는 것보다, 문제의 해결이 더욱 시급하신 분들을 위해 만들어진 자동화된 도구를 뜻한다.


    현재 지속적으로 제로데이 취약점을 이용한 악성파일들이 나오고 있는 가운데, 사용자들은 빨리 Fix it이라도 설치하는 것이 좋다.

    Internet Explorer 취약점(0-Day : CVE-2012-4969)의 Fix it 주소는 아래와 같다.

    - CVE-2012-4969 Fix it 사이트 : http://support.microsoft.com/kb/2757760



    설치 방법은 간단하다.
    위의 사이트로 접속 후 빨간색 박스로 표기 된 "Microsoft Fix it 50939" 를 클릭 하여 다운로드 받으면 된다.
    (참고사항 : Microsoft Fix it 50939는 설치를 위한 패키지며, Microsoft Fix it 50938는 삭제를 위한 패키지이다)




    설치 패키지(Microsoft Fix it 50939)를 다운로드 하면 아래와 같이 설치하면 된다.








    Microsoft Fix it 50939의 설치가 완료되면 "제어판 - 프로그램 추가/제거 - CVE-2012-4969" 프로그램이 설치 되었는지 확인
    (※ 정식적인 보안 패치가 나오면 업데이트 전 해당 프로그램은 삭제 해야 된다!!)



    이번 취약점의 공식 패치 일시는 9월 21일(한국시간 22일)
           IE누적패치에 추가되어 배포 될 예정이라고
    하며, 
                    
    MS12-063으로 업데이트가 된다고 한다.


    블로그 이미지

    잡다한 처리

    이것 저것 끄적여 보는 공간으로 만들었습니다.