9 고객지원‎ > ‎

보안공지

2010/02/19 국내 공개 웹 게시판(제로보드) 보안 업데이트 권고

게시자: 고영진, 2010. 2. 28. 오전 11:27   [ 2010. 2. 28. 오전 11:28에 업데이트됨 ]

□ 개요
 o 최근 국내 PHP 기반의 공개 웹 게시판 제로보드4에 대한 CSRF 관련 보안 취약점이 발견됨[3]
    ※ 제로보드(ZeroBoard): PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크
    ※ CSRF(Cross-Site Request Forgery) 취약점 : 정상적인 서비스 사용자의 권한을 몰래 이용하여
        스크립트를 실행할 수 있는 취약점으로 관리자 권한으로 악의적인 목적의 스크립트가 실행될 수
        있는 취약점
 o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및 조속한
    패치가 필요함

□ 영향
 o 원격의 사용자가 제로보드4 관리자 권한을 획득할 수 있음
 o 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며,
    이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음
    ※ PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어

□ 영향 받는 시스템
 o 제로보드4 모든 버전

□ 설명
 o 원격의 사용자가 시스템 내의 임의의 파일을 읽거나, 임의의 php 코드를 실행하는 것이 가능하여 
    이를 통한 웹 변조 등의 해킹이 발생

□ 해결방안
 o 제로보드4를 처음 사용하는 경우
   - 공식사이트(www.zeroboard.com)에는 취약점이 보완된 admin_exec_member.php 설치 
      파일[1]을 다운로드 받아 설치

 o 제로보드4를 사용중인 경우
   - admin_exec_member.php 파일의 106번째 줄에 다음 아래와 같이 추가 


□ 이용자 주의사항
 o 09년 9월 25일부터 제로보드4는 구조적인 한계로 인한 보안 취약점 문제로 공식적인 배포를 중지함
 o 제로보드4의 공식적인 배포는 중지되었으나 신규취약점의 피해를 막고 정보를 공유하기 위해 공식
    커뮤니티는 계속 운영될 예정
 o 따라서 이용자들은 제로보드4의 공식 커뮤니티[2] 사이트의 보안 정보 공유 게시판[1]을 
    주기적으로 확인하여 신규 취약점에 대한 정보를 숙지하고 이에 따른 조치를 취해야함
 o 혹은, 지속적인 보안패치 제공 서비스가 가능한 홈페이지 게시판으로 업그레이드를 권고

□ 기타 문의사항
 o 제로보드4는 더 이상 사용할 수 없는 건가요?
   - 아닙니다. 사용하실 수 있습니다. 그러나 제작사에서 더 이상 공식적인 보안 패치를 제공하지 않기
     때문에 신규 취약점으로 인한 피해를 입으실 수 있으므로 이용자 주의사항을 숙지하시길 바랍니다.
 o 제로보드4의 공식 커뮤니티는 계속 운영되나요?
   - 네 운영됩니다. 제로보드4 공식 커뮤니티 사이트[2]는 제로보드4의 취약점 정보 및 기타 정보 
     공유를 목적으로 계속 운영이 됩니다.
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.xpressengine.com/zb4_security
[2] http://www.xpressengine.com/zb4_main
[3] http://www.xpressengine.com/18695228

2010/02/17 Adobe Acrobat/Reader/Flash Player 보안 업데이트 권고

게시자: 고영진, 2010. 2. 28. 오전 11:27   [ 2010. 2. 28. 오전 11:27에 업데이트됨 ]

□ 개요
 o Adobe Acrobat, Reader, Flash Player 제품군에서 인가받지 않은 크로스 도메인(Cross-domain)
    요청을 허가하는 보안 취약점 및 해당 프로그램의 비정상 종료를 유발하는 서비스 거부 공격
    취약점이 발표됨[1]
    ※ Adobe Acrobat : PDF생성 및 편집을 지원하는 응용 프로그램
    ※ Adobe Reader  : PDF를 볼수 있도록 지원하는 응용 프로그램
    ※ Adobe Flash Player: Adobe Flash나 Adobe Flex 등에서 생성한 SWF 파일을 구동하는
        프로그램
    ※ Cross domain Attack : 공격자 또는 스크립트 코드가 외부 도메인에 있는 정보를 우회하여
        액세스할 수 있는 취약점을 이용한 공격
 o 낮은 버전의 Adobe Acrobat, Reader, Flash Player 사용으로 인한 악성코드 감염 및 해당
    프로그램의 비정상 종료 등의 사고가 발생할 수 있음으로 사용자의 주의 및 최신버전 설치가
    권고됨[2][3]

□ 영향 받는 제품
 o Adobe Flash Player 10.0.42.34 이하 버전
 o Adobe AIR 1.5.3.9120 이하 버전
 o Adobe Reader 9.3 이하 버전
 o Adobe Acrobat 9.3 이하 버전

□ 설명
 o Adobe Acrobat/Reader/Flash Player 취약점에 대한 패치(총 2건)가 아래와 같이 발표됨
   - Adobe Flash Player에서  인가받지 않은 크로스 도메인(Cross-domain) 요청을 허가하는
      취약점[2](CVE-2010-0186)
   - Adobe Reader/Acrobat에서 해당 프로그램의 비정상 종료를 유발할 수 있는 취약점[3]
      (CVE-2010-0188)
 o 상기 취약점을 이용하여 공격자는 조작된 PDF, SWF 다운로드 링크를 클릭하는 피해의 PC에서
    악성 스크립트를 실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음
    ※ PDF(Portable Document Format) : Adobe社가 개발한 Acrobat 등의 프로그램에서 사용하는
        파일 형식
    ※ SWF(Shockwave Flash): Macromedia社가 개발한 멀티미디어 및 벡터 그래픽 파일 형식으로
        주로 웹에서 사용됨

□ 해결방안
 o 해당 취약점에 영향을 받는 Adobe Acrobat/Reader/Flash Player 사용자는 취약하지 않은
    최신 버전으로 업데이트 할 것을 권고함[2][3]
 o Flash 컨텐츠를 사용하는 웹서버 관리자는 아래와 같이 웹페이지를 수정하여 이용자들이 최신 버전
    Flash Player를 설치하도록 ActiveX 버전 수정 필요

  < 예제>  ※ version 부분을 최신버젼으로 변경

   ※ Adobe Flash Player  9 버전 사용자 :  


    ※ Adobe Flash Player 10 버전 사용자 :  


 o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을 준수
    해야 함
   - 의심되는 이메일에 포함된 PDF, SWF 링크를 방문하지 않음
   - 신뢰되지 않은 웹사이트의 PDF, SWF 다운로드 주의
   - 개인방화벽과 백신제품의 사용 등

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1]  http://www.us-cert.gov/current/current_activity.html#adobe_releases_security_bulletins_fo
[2] http://www.adobe.com/support/security/bulletins/apsb10-06.html
[3] http://www.adobe.com/support/security/bulletins/apsb10-07.html 

2010/02/10 [MS 보안업데이트]2010년 2월 MS 정기 보안업데이트 권고

게시자: 고영진, 2010. 2. 28. 오전 11:26   [ 2010. 2. 28. 오전 11:26에 업데이트됨 ]

[MS10-003] MS Office 취약점으로 인한 원격코드실행 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명  
 o MS Office가 특수하게 조작된 Office 파일을 처리하는 과정에서 원격코드가 실행 가능한 문제점
 o 공격자는 특수하게 조작된 Office 파일을 유포하여 사용자가 열어보도록 함으로써 사용자 권한으로
    임의의 원격코드 실행가능
 o 관련취약점 : 
   - MSO.DLL Buffer Overflow - CVE-2010-0243
 o 영향 : 원격코드실행
 o 중요도 : 중요

□ 해당시스템
 o 영향 받는 소프트웨어
   - Microsoft Office XP SP3
   - Microsoft Office 2004 for Mac
 o 영향 받지 않는 소프트웨어
   - Microsoft Office 2003 SP3
   - 2007 Microsoft Office SP1, SP2
   - Microsoft Office 2008 for Mac
   - Open XML File Format Converter for Mac
   - Microsoft Office Excel Viewer SP1, SP2
   - Microsoft Office Word Viewer
   - PowerPoint Viewer 2007 SP1, SP2
   - Visio Viewer 2007 SP1, SP2
   - Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP1,
      SP2
   - Microsoft Works 8.5
   - Microsoft Works 9

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-003.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-003.mspx


[MS10-004] MS PowerPoint 취약점으로 인한 원격코드실행 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명  
 o MS PowerPoint가 특수하게 조작된 PowerPoint 파일을 처리하는 과정에서 원격코드가 실행
    가능한 문제점
 o 공격자는 특수하게 조작된 PowerPoint 파일을 유포하여 사용자가 열어보도록 함으로써 사용자
    권한으로 임의의 원격코드 실행가능
 o 관련취약점 :
   - PowerPoint File Path Handling Buffer Overflow Vulnerability - CVE-2010-0029
   - PowerPoint LinkedSlideAtom Heap Overflow Vulnerability - CVE-2010-0030
   - PowerPoint OEPlaceholderAtom placementId Invalid Array Indexing Vulnerability - CVE-
      2010-0031
   - PowerPoint OEPlaceholderAtom Use After Free Vulnerability - CVE-2010-0032
   - PowerPoint Viewer TextBytesAtom Record Stack Overflow Vulnerability - CVE-2010-0033
   - Office PowerPoint Viewer TextCharsAtom Record Stack Overflow Vulnerability - CVE-2010-
      0034
 o 영향 : 원격코드실행
 o 중요도 : 중요

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Microsoft Office XP SP3
   - Microsoft Office 2003 SP3
   - Microsoft Office 2004 for Mac
 o 영향 받지 않는 소프트웨어
   - Microsoft Office PowerPoint 2007 SP1, SP2
   - Microsoft Office 2008 for Mac
   - Open XML File Format Converter for Mac
   - PowerPoint Viewer 2007 SP1, SP2
   - Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP1,
      SP2
   - Microsoft Works 8.5
   - Microsoft Works 9

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-004.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-004.mspx


[MS10-005] MS Paint 취약점으로 인한 원격코드실행 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
  
□ 설명  
 o MS Paint가 특수하게 조작된 JPEG 파일을 처리하는 과정에서 원격코드가 실행 가능한 문제점
 o 공격자는 특수하게 조작된 JPEG 파일을 유포하여 사용자가 열어보도록 함으로써 사용자 권한으로
    임의의 원격코드 실행가능
 o 관련취약점 :
   - MS Paint Integer Overflow Vulnerability - CVE-2010-0028 
 o 영향 : 원격코드실행
 o 중요도 : 보통

□ 해당시스템  
 o 영향 받는 소프트웨어 
   - Microsoft Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
 o 영향 받지 않는 소프트웨어 
   - Windows Vista, SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems
 
□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-005.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-005.mspx


[MS10-006] SMB Client 취약점으로 인한 원격코드실행 문제

□ 영향
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명  
 o 윈도우즈의 SMB Clinet 모듈이 특수하게 조작된 SMB 응답을 처리하는 과정에서 원격코드가 실행
    가능한 문제점
    ※ SMB (Server Message Block): Microsoft Windows에서 사용하는 네트워크 파일 공유
        프로토콜
 o 공격자는 특수하게 조작된 SMB 응답을 취약한 시스템에 발송하여 사용자 권한으로 임의의
    원격코드 실행가능
 o 관련취약점 :
   - SMB Client Pool Corruption Vulnerability - CVE-2010-0016
   - SMB Client Race Condition Vulnerability - CVE-2010-0017
 o 영향 : 원격코드실행
 o 중요도 : 긴급

□ 해당시스템  
 o 영향 받는 소프트웨어 
   - Microsoft Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-006.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-006.mspx



[MS10-007] Shell 취약점으로 인한 원격코드실행 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
  
□ 설명  
 o 윈도우즈의 Shell 모듈이 특수하게 조작된 데이터를 처리하는 과정에서 원격코드가 실행 가능한
    문제점
    ※ Shell: 사용자의 명령을 해석하여 커널에 전달하여 주고, 명령을 실행시켜 주는 명령어 해석기
 o 공격자는 특수하게 조작된 데이터를 취약한 시스템에 발송하여 사용자 권한으로 임의의 원격코드
    실행 가능
 o 관련취약점
   - URL Validation Vulnerability - CVE-2010-0027
 o 영향 : 원격코드실행
 o 중요도 : 긴급

□ 해당시스템  
 o 영향 받는 소프트웨어 
   - Microsoft Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
 o 영향 받지 않는 소프트웨어 
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-007.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-007.mspx


[MS10-008] ActiveX Kill Bits 누적 보안업데이트

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명  
 o 취약점이 존재하는 ActiveX 컨트롤이 사용된 웹페이지를 처리하는 과정에서 원격코드가 실행
    가능한 문제점
 o 공격자는 특수하게 조작된 웹페이지를 게시하여 사용자가 열어보도록 함으로써 사용자 권한으로
    임의의 원격코드 실행가능
 o 관련취약점 :
    - Microsoft Data Analyzer ActiveX Control Vulnerability - CVE-2010-0252
 o 영향 : 원격코드실행
 o 중요도 : 긴급

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2 
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-008.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-008.mspx


[MS10-009] TCP/IP 취약점으로 인한 원격코드실행 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
  
□ 설명  
 o 윈도우즈의 TCP/IP 모듈이 특수하게 조작된 ICMPv6 패킷을 처리하는 과정에서 원격코드가 실행
    가능한 문제점
    ※ ICMPv6: 인터넷 프로토콜 버전 6용 ICMP
    ※ ICMP (Internet Control Message Protocol): 호스트 서버와 인터넷 게이트웨이 사이에서
        메시지를 제어하고 에러를 알려주는 프로토콜
 o 공격자는 특수하게 조작된 ICMPv6 패킷을 취약한 시스템에 발송하여 사용자 권한으로 임의의 원격
    코드 실행가능
 o 관련취약점 :
   - ICMPv6 Router Advertisement Vulnerability - CVE-2010-0239
   - Header MDL Fragmentation Vulnerability – CVE-2010-0240
   - ICMPv6 Route Information Vulnerability - CVE-2010-0241
   - TCP/IP Selective Acknowledgement Vulnerability – CVE-2010-0242
 o 영향 : 원격코드실행
 o 중요도 : 긴급

□ 해당시스템  
 o 영향 받는 소프트웨어 
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2
 o 영향 받지 않는 소프트웨어 
   - Microsoft Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-009.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-009.mspx


[MS10-010] Hyper-V 취약점으로 인한 서비스 거부 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 서비스 거부 유발
  
□ 설명
 o Hyper-V에서 특수하게 조작된 기계어가 실행되는 과정에서 서비스 거부가 발생 가능한 문제점
    ※ Hyper-V : Microsoft의 가상화 기술
 o 공격자가 가상머신에 로그인한 뒤, 특수하게 조작된 기계어를 실행하여 서비스 거부 발생가능
 o 관련취약점 :
   - Hyper-V Instruction Set Validation Vulnerability - CVE-2010-0026 
 o 영향 : 서비스 거부
 o 중요도 : 중요

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 R2 for x64-based Systems
 o 영향 받지 않는 소프트웨어
   - Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2 
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-010.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-010.mspx


[MS10-011] CSRSS 취약점으로 인한 권한 상승 문제

□ 영향 
 o 사용자 권한을 가진 공격자가 커널 모드에서 임의의 코드 실행
  
□ 설명  
 o 윈도우즈의 CSRSS 모듈에서 특수하게 조작된 어플리케이션을 처리하는 과정에서 권한상승이
    발생 가능한 문제점
    ※ CSRSS (Client Server Run-Time Subsystem): 시스템 쓰레드의 생성과 삭제, Win32 콘솔
        윈도우 제어, 16비트 가상머신 처리 등을 담당하는 커널모듈
 o 공격자는 사용자 권한을 획득한 후, 특수하게 조작된 어플리케이션을 실행하여 커널 모드에서
    임의의 코드 실행가능
 o 관련취약점 :
   - CSRSS Local Privilege Elevation Vulnerability – CVE-2010-0023 
 o 영향 : 권한 상승
 o 중요도 : 중요

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
 o 영향 받지 않는 소프트웨어
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems SP2
   - Windows Server 2008 for Itanium-based Systems, SP2 
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-011.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-011.mspx


[MS10-012] SMB Server 취약점으로 인한 원격코드실행 문제

□ 영향
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명  
 o 윈도우즈의 SMB Server 모듈이 특수하게 조작된 SMB 패킷을 처리하는 과정에서 원격코드가 실행
    가능한 문제점
    ※ SMB (Server Message Block): Microsoft Windows에서 사용하는 네트워크 파일 공유
        프로토콜
 o 공격자는 특수하게 조작된 SMB 패킷을 취약한 시스템에 발송하여 사용자 권한으로 임의의
    원격코드 실행가능
 o 관련취약점 :
   - SMB Pathname Overflow Vulnerability - CVE-2010-0020 
   - SMB Memory Corruption Vulnerability - CVE-2010-0021
   - SMB Null Pointer Vulnerability - CVE-2010-0022
   - SMB NTLM Authentication Lack of Entropy Vulnerability - CVE-2010-0231
 o 영향 : 원격코드실행
 o 중요도 : 중요

□ 해당시스템  
 o 영향 받는 소프트웨어 
   - Microsoft Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-012.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-012.mspx



[MS10-013] DirectShow 취약점으로 인한 원격코드실행 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
  
□ 설명
 o DirectShow가 특수하게 조작된 AVI 파일을 처리하는 과정에서 원격코드가 실행 가능한 문제점
    ※ DirectShow: 멀티미디어 스트림의 고성능 캡쳐와 재생을 가능하게 해주는 기술
 o 공격자는 특수하게 조작된 AVI 파일을 유포하여 사용자가 열어보도록 함으로써 사용자 권한으로
    임의의 원격코드 실행가능
 o 관련취약점
    - DirectShow Heap Overflow Vulnerability - CVE-2010-0250
 o 영향 : 원격코드실행
 o 중요도 : 긴급

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Microsoft Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-013.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-013.mspx


[MS10-014] Kerberos 취약점으로 인한 서비스 거부 문제

□ 영향 
 o 공격자가 영향 받는 시스템에 대해 서비스 거부 유발
  
□ 설명
 o 윈도우즈의 Kerberos 모듈에서 특수하게 조작된 요청을 처리하는 과정에서 서비스 거부가 발생
    가능한 문제점
    ※ Kerberos: 윈도우즈에서 사용하는 기본 사용자 인증 프로토콜
 o 공격자가 특수하게 조작된 요청을 취약한 시스템에 발송하여 서비스 거부 발생가능
 o 관련취약점 :
   - Kerberos Null Pointer Dereference Vulnerability - CVE-2010-0035
 o 영향 : 서비스 거부
 o 중요도 : 중요

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Windows 2000 Server SP4
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems, SP2
 o 영향 받지 않는 소프트웨어
   - Windows 2000 Professional SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for Itanium-based Systems, SP2 
   - Windows 7 for 32-bit Systems
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-014.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-014.mspx


[MS10-015] 윈도우즈 커널 취약점으로 인한 권한 상승 문제

□ 영향 
 o 사용자 권한을 가진 공격자가 커널 모드에서 임의의 코드 실행
  
□ 설명  
 o 윈도우즈의 커널 모듈에서 특수하게 조작된 어플리케이션을 처리하는 과정에서 권한상승이 발생
    가능한 문제점
 o 공격자는 사용자 권한을 획득한 후, 특수하게 조작된 어플리케이션을 실행하여 커널 모드에서
    임의의 코드 실행가능
 o 관련취약점 :
   - Windows Kernel Exception Handler Vulnerability - CVE-2010-0232 
   - Windows Kernel Double Free Vulnerability - CVE-2010-0233
 o 영향 : 권한 상승
 o 중요도 : 중요

□ 해당시스템  
 o 영향 받는 소프트웨어
   - Windows 2000 SP4
   - Windows XP SP2, SP3
   - Windows XP Professional x64 Edition SP2
   - Windows Server 2003 SP2
   - Windows Server 2003 x64 Edition SP2
   - Windows Server 2003 with SP2 for Itanium-based Systems
   - Windows Vista SP1, SP2
   - Windows Vista x64 Edition, SP1, SP2
   - Windows Server 2008 for 32-bit Systems, SP2
   - Windows Server 2008 for x64-based Systems SP2
   - Windows Server 2008 for Itanium-based Systems, SP2 
   - Windows 7 for 32-bit Systems
 o 영향 받지 않는 소프트웨어
   - Windows 7 for x64-based Systems
   - Windows Server 2008 R2 for x64-based Systems
   - Windows Server 2008 R2 for Itanium-based Systems

□ 해결책  
 o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
 o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-015.mspx
 o 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS10-015.mspx

2010/02/08 Oracle WebLogic Node Manager 취약점 패치 권고

게시자: 고영진, 2010. 2. 28. 오전 11:25   [ 2010. 2. 28. 오전 11:26에 업데이트됨 ]

□ 개요
  o Oracle WebLogic(오라클 웹로직)에서 사용되는 Node Manager에 인증 과정 없이 
     원격에서 임의의 명령를 실행할 수 있는 신규 취약점이 발견되어 사용자의 주의를 요함[1]
    ※ Node Manager : 웹로직 서버에 대한 원격 제어(Start ,Stop ,Restart 등) 기능을 
        제공하는 유틸리티

□ 해당시스템 
  ㅇOracle WebLogic Server 11gR1 releases (10.3.1 and 10.3.2)       
  ㅇOracle WebLogic Server 10gR3 release (10.3.0)       
  ㅇOracle WebLogic Server 10.0 through MP2       
  ㅇOracle WebLogic Server 9.0, 9.1, 9.2 through MP3       
  ㅇOracle WebLogic Server 8.1 through SP6        
  ㅇOracle WebLogic Server 7.0 through SP7  
 
□ 영향 
  o 공격자는 Node Manager를 이용하여 인증 과정 없이 원격에서 임의의 명령을 실행시키는
     등의 행위를 할 수 있음
 
□ 해결 방안
  o 해결방안으로서 "Oracle Security Alert for CVE-2010-0073" 문서를 검토하고 가능하면
    벤더사 및 유지보수업체와 협의/검토 후 패치적용 요망[1]
  o 각 사이트의 사정으로 패치적용이 지연될 경우, 
   - Oracle WebLogic(오라클 웹로직) 서버에 대한 접근 통제를 구현하여 사용자에게 허가되는 
      권한을 최소화함으로써, 공격으로 인해 발생될 영향을 제한
   - 영향을 받는 서비스에 대해서는 신뢰된 호스트 및 네트워크들만 액세스할 수 있도록 제한 
     (TCP 5556 포트 제한)
 
□ 참조 사이트
  [1] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0073.html
  [2] http://www.securityfocus.com/bid/37926/info

[참고]
1. F.A.Q
  o Oracle WebLogic(오라클 웹로직) 서버는 무엇입니까?
    - Oracle WebLogic(오라클 웹로직) 서버는 오라클, Microsoft SQL Server, Sysbase등의 
       DB를 접속할 때 사용되는 자바를 처리하는 미들웨어입니다.
  o 방화벽을 사용하여 외부에서 내부 Oracle WebLogic(오라클 웹로직) 서버로의 접속을 차단해 
     놓은 경우에도 공격을 당할 수 있습니까?
   - 외부로 부터의 공격에는 비교적 안전하나 기업 내부자에 의한 권한 상승은 가능하므로 패치가 
      요망됩니다.
  o 패치 적용 시 기존에 서비스하던 응용프로그램 안정성에는 문제가 없나요?
   - Oracle 고객지원센터 및 유지보수업체 등을 통하여 사전 검증을 하고 패치를 적용하시는 것이 
      바람직합니다.

2. 기타 문의사항 
  o 한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118

2010/02/04 MS Internet Explorer 정보유출 취약점 주의

게시자: 고영진, 2010. 2. 28. 오전 11:24   [ 2010. 2. 28. 오전 11:24에 업데이트됨 ]

□ 개요
   o MS Internet Explorer에서 로컬 시스템 파일이 원격의 공격자에 의해 유출될 수 있는 정보유출 
     취약점이 공개됨 [1, 2, 3]
     - 공격자는 스팸 메일이나 메신저의 링크를 통해 특수하게 조작된 콘텐트로 구성된 악의적인 
       웹 사이트에 방문하도록 사용자를 유도하여, 해당 사용자 시스템의 로컬 파일의 내용을 유출할 
       수 있음
   o 모든 버전의 Internet Explorer을 대상으로 공격이 가능한 취약점이 공개되었으므로 인터넷 
     사용자의 주의가 요구됨

□ 해당시스템 
   o 영향 받는 소프트웨어 [1]
     - Internet Explorer 5.01 SP4 for Microsoft Windows 2000 SP4
     - Internet Explorer 6 SP1 on Microsoft Windows 2000 SP4
     - Internet Explorer 6 for Windows XP SP2, SP3, 
     - Internet Explorer 6 for Windows XP Professional x64 Edition SP2
     - Internet Explorer 6 for Windows Server 2003 SP2
     - Internet Explorer 6 for Windows Server 2003 with SP2 for Itanium-based Systems
     - Internet Explorer 6 for Windows Server 2003 x64 Edition SP2
     - Internet Explorer 7 for Windows XP SP2, SP3, 
     - Internet Explorer 7 for Windows XP Professional x64 Edition SP2
     - Internet Explorer 7 for Windows Server 2003 SP2
     - Internet Explorer 7 for Windows Server 2003 with SP2 for Itanium-based Systems
     - Internet Explorer 7 for Windows Server 2003 x64 Edition SP2
     - Internet Explorer 7 in Windows Vista, SP1, SP2
     - Internet Explorer 7 in Windows Vista x64 Edition, SP1, SP2
     - Internet Explorer 7 in Windows Server 2008 for 32-bit Systems, SP2
     - Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems, SP2
     - Internet Explorer 7 in Windows Server 2008 for x64-based Systems, SP2
     - Internet Explorer 8 for Windows XP SP2, SP3
     - Internet Explorer 8 for Windows XP Professional x64 Edition SP2
     - Internet Explorer 8 for Windows Server 2003 SP2
     - Internet Explorer 8 for Windows Server 2003 x64 Edition SP2
     - Internet Explorer 8 in Windows Vista, SP1, SP2, 
     - Internet Explorer 8 in Windows Vista x64 Edition, SP1, SP2
     - Internet Explorer 8 in Windows Server 2008 for 32-bit Systems, SP2
     - Internet Explorer 8 in Windows Server 2008 for x64-based Systems, SP2
     - Internet Explorer 8 in Windows 7 for 32-bit Systems
     - Internet Explorer 8 in Windows 7 for x64-based Systems
     - Internet Explorer 8 in Windows Server 2008 R2 for x64-based Systems
     - Internet Explorer 8 in Windows Server 2008 R2 for Itanium-based Systems

□ 임시 해결 방안  
   o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음
   o Windows Vista 이후의 운영체제에서 보호모드로 설정된 Internet Explorer를 사용하는 경우 
      취약점의 영향력을 낮출 수 있음
     ※ 보호모드(Protected Mode) : Windows Vista에서 매우 제한된 권한으로 Internet Explorer 
        프로세스가 실행되도록 하여 사용자 프로필이나 시스템 위치에 있는 파일, 레지스트리 키에 대한 
        쓰기 액세스 권한을 제한함
   o 네트워크 프로토콜 잠금(Network Protocol Lockdown) 설정
     - Microsoft 기술자료문서[4]에 “자동 해결” 섹션의 “네트워크 프로톡콜 잠금 사용” 아래 링크를 
       클릭하여 파일 다운로드 후 설치 (Microsoft Fix it 50365)
     - 네트워크 프로토콜 잠금 설정을 적용할 경우 file:// 프로토콜을 사용하는 스크립트나 ActiveX 
        컨트롤이 “인터넷 영역”에서 실행되지 않도록 제한함
       ※ 해당 설정을 적용할 경우 IE 기반 일부 그룹웨어의 기능상 장애가 발생할 수 있음
       ※ 원상태로 복구하기 위해서는 “네트워크 프로토콜 잠금 해제”를 적용 (Microsoft Fix it 50366)
                           

   o KrCERT/CC와 MS 보안업데이트 사이트[5]를 주기적으로 확인하여 해당 취약점에 대한 
     보안업데이트 발표 시 신속히 최신 업데이트를 적용하거나 자동업데이트를 설정
     ※ 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택
   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
     - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용
     - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
     - 신뢰되지 않는 웹 사이트의 방문 자제
     - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제
   
□ 기타 문의사항 
   o 보안업데이트는 언제 발표되나요?
     - 해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해 신속히 
       공지할 예정입니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.microsoft.com/technet/security/advisory/980088.mspx
[2] http://www.coresecurity.com/content/internet-explorer-dynamic-object-tag#
[3] http://www.coresecurity.com/content/Black-Hat-DC-2010
[4] http://support.microsoft.com/kb/980088
[5] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

2010/02/03 iPhone OS 3.1.3 소프트웨어 업데이트 권고

게시자: 고영진, 2010. 2. 28. 오전 11:23   [ 2010. 2. 28. 오전 11:23에 업데이트됨 ]

□ 개요
   o 최근 애플社에서 iPhone OS 3.1.3을 공개 [1,2,3]
   o iPhone OS 3.1.3은 iPhone 및 iPod Touch에 대한 보안 업데이트를 포함함
   o 이에 국내 iPhone 및 iPod Touch 이용자들은 소프트웨어 업데이트를 권고함

□ 설명
   o 최근 애플社에서 5가지 보안 업데이트를 포함하는 iPhone OS 3.1.3을 공개 [1,2,3]

   o 5가지 관련 취약점은 다음과 같음
     - CoreAudio (CVE-2010-0036) : 악의적으로 조작된 mp4 오디오 파일 재생 시, 
       비정상적인 프로그램 종료 또는 임의 코드가 실행될 수 있는 취약점

     - ImageIO (CVE-2009-2285) : 악의적으로 조작된 TIFF 이미지 오픈 시, 비정상적인 
       프로그램 종료 또는 임의 코드가 실행될 수 있는 취약점

     - Recovery Mode (CVE-2010-0038) : USB 컨트롤 메시지 처리확인 오류로 인하여, 
       사용자 암호를 우회하여 중요 데이터를 접근할 수 있는 취약점

     - WebKit (CVE-2009-3384) : WebKit의 FTP 디렉터리 리스트 처리오류로, 악의적으로 
       조작된 FTP 서버 접근시 비정상 프로그램 종료, 정보 노출 및 임의 코드가 
       실행될 수 있는 취약점

     - WebKit (CVE-2009-2841) : WebKit 에서 외부 URL(리소스)가 포함된 HTML 5 Media
       Elements 처리 시, 원격의 서버들에 원치 않는 요청들이 전송될 수 있는 취약점


□ 업데이트 방법
   ① PC에서 아이튠즈를 실행하고 iPhone을 PC와 연결


   ② “업데이트 확인” 버튼을 클릭하여 소프트웨어 업데이트
 

   ③ 업데이트 완료 

□ 용어 정리
   o WebKit : Apple Safari 및 Google 크롬 브라우저를 포함한 다수의 어플리케이션에서 
     사용되는 브라우저 프레임워크

□ 기타 문의사항
   o Jailbreak된 iPhone도 업데이트가 가능한가요?
     - 업데이트가 가능합니다. 아이튠즈를 통해 업데이트를 하시길 바랍니다.
      ※ 단, 본 업데이트를 적용할 경우 Jailbreak가 적용되지 않은 상태로 돌아갑니다.

   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 

□ 참고사이트

   [1] http://support.apple.com/kb/HT4013
   [2] http://blogs.pcmag.com/securitywatch/2010/02/iphone_os_update_fixes_5_vulne.php
   [3] http://news.cnet.com/8301-27080_3-10446103-245.html?tag=mncol;title

2010/01/27 포털메일로 전파되는 악성코드 은닉메일 열람 주의

게시자: 고영진, 2010. 2. 28. 오전 11:22   [ 2010. 2. 28. 오전 11:23에 업데이트됨 ]

국가사이버안전센터에서는 최근 국가,공공기관을 대상으로 대량의 해킹메일 유포와 관련하여
1월 25일(월) 17:00시를 기하여 공공부문 사이버 위협 경보단계를 정상에서 관심으로 상향
조정하였습니다.

 ※ 국가사이버안전센터 "신종 해킹메일 대량 유포" 제목의 관심 경보발령(공공부문) 참조
     (http://service1.nis.go.kr/PDS/Notice.jsp)


포탈메일 이용자를 대상으로 악성코드를 은닉하고 있는 해킹메일이 대량으로 유포되고 있으니
주의하시기 바랍니다.

해킹메일은 XSS 취약점 및 09.12.16 발표된 Adobe Reader 및 Acrobat의 보안취약점을 악용, 
메일제목을 클릭하는 것만으로도 PC를 감염시키게 됩니다.
 ※ 관련취약점 : http://www.krcert.or.kr/secureNoticeView.do?num=382&seq=-1 
 ※ XSS(Cross-Site Scripting) : 게시판이나 웹 메일 등에 악의적인 스크립트를 삽입하여,
   비정상적인 페이지가 보이도록 함으로써, 방문 사용자의 사용을 방해하거나 쿠키 및 
   기타 개인정보를 특정 사이트로 전송하는 해킹 기법



□ 주요 특징 

 ㅇ 해커는 주로 해외의 Gmail, Yahoo, Hotmail 계정을 이용하여 발신자 명의만 국내인(지인 또는
   공공단체, 기업 등)으로 가장하여, 해킹메일을 발송합니다.

 ㅇ 메일제목을 클릭하면 로그아웃된 것처럼 다시 로그인하라는 피싱사이트 화면이 표시됩니다.
   이 때, ID와 패스워드를 입력하시면 해당 정보가 해커에게 유출됩니다. 

 ㅇ 로그인 화면 표시와 동시에 iFrame 태그를 이용하여 사용자 모르게 악성 PDF파일을 다운로드
   하여 실행시킴으로써 사용자 PC에 자료유출형 악성코드를 설치하게 됩니다.



□ 대응 요령 

 ㅇ 포탈 메일 열람 중 갑자기 로그인창이 뜨는 경우, 아이디/패스워드를 절대 입력하지 마십시오.

 ㅇ Adobe Reader 및 Acrobat의 최신 보안패치를 설치하십시오.

 ㅇ 익명가입이 가능한 해외메일(Gmail,Yahoo,Hotmail)에서 발송된 메일은 열람 시 주의바랍니다.


※ 이런 형태의 메일을 수신하거나 열어보신 경우, KISC상황실(02-405-4991~4,cert@krcert.or.kr)
    로 반드시 신고해 주시기 바랍니다.

2010/01/22 [MS10-002]IE 관련 MS 비정기 긴급 보안패치 공지

게시자: 고영진, 2010. 2. 28. 오전 11:21   [ 2010. 2. 28. 오전 11:22에 업데이트됨 ]

[MS10-002] Internet Explorer 누적 보안 업데이트

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명  
  o Internet Explorer가 초기화 되지 않거나 삭제된 메모리 객체에 접근하는 
     과정에서 원격코드실행 취약점이 발생함
  o XSS(크로스사이트스크립팅) 필터링 및 URL 유효성 검증 과정에서 정보노출 
     및 원격코드 실행 취약점이 발생함
     ※ XSS(Cross Site Scripting : 크로스 사이트 스크립팅) : 게시판 또는 
         웹페이지에 악의적으로 삽입된 스크립트가 해당 게시물 또는 웹페이지 
         방문시 실행되도록 하는 공격 형태
  o 공격자는 특수하게 조작된 웹 페이지를 열도록 유도함. 공격이 성공하면 
     공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
  o 관련 취약점 :
    - XSS Filter Script Handling Vulnerability - CVE-2009-4074
    - URL Validation Vulnerability - CVE-2010-0027
    - Uninitialized Memory Corruption Vulnerability - CVE-2010-0244
    - Uninitialized Memory Corruption Vulnerability - CVE-2010-0245
    - Uninitialized Memory Corruption Vulnerability - CVE-2010-0246
    - Uninitialized Memory Corruption Vulnerability - CVE-2010-0247
    - HTML Object Memory Corruption Vulnerability - CVE-2010-0248
    - HTML Object Memory Corruption Vulnerability - CVE-2010-0249
  o 영향 : 원격코드실행
  o 중요도 : 긴급

□ 해당시스템  
  o 영향 받는 소프트웨어 
    - Internet Explorer 5.01 SP4 on Microsoft Windows 2000 SP4
    - Internet Explorer 6 SP1 on Microsoft Windows 2000 SP4
    - Internet Explorer 6 on Windows XP SP2, SP3
    - Internet Explorer 6 on Windows XP Professional x64 Edition SP2
    - Internet Explorer 6 on Windows Server 2003 SP2
    - Internet Explorer 6 on Windows Server 2003 x64 Edition SP2
    - Internet Explorer 6 on Windows Server 2003 SP2 for Itanium-based Systems
    - Internet Explorer 7 on Windows XP SP2, SP3
    - Internet Explorer 7 on Windows XP Professional x64 Edition SP2
    - Internet Explorer 7 on Windows Server 2003 SP2
    - Internet Explorer 7 on Windows Server 2003 x64 Edition SP2
    - Internet Explorer 7 on Windows Server 2003 SP2 for Itanium-based Systems
    - Internet Explorer 7 on Windows Vista, SP1, SP2
    - Internet Explorer 7 on Windows Vista x64 Edition, SP1, SP2
    - Internet Explorer 7 on Windows Server 2008 for 32-bit Systems, SP2
    - Internet Explorer 7 on Windows Server 2008 for x64-based Systems, SP2
    - Internet Explorer 7 on Windows Server 2008 for Itanium-based Systems, SP2
    - Internet Explorer 8 on Windows XP SP2, SP3
    - Internet Explorer 8 on Windows XP Professional x64 Edition SP2
    - Internet Explorer 8 on Windows Server 2003 SP2
    - Internet Explorer 8 on Windows Server 2003 x64 Edition SP2
    - Internet Explorer 8 on Windows Vista, SP1, SP2
    - Internet Explorer 8 on Windows Vista x64 Edition, SP1, SP2
    - Internet Explorer 8 on Windows Server 2008 for 32-bit Systems, SP2
    - Internet Explorer 8 on Windows Server 2008 for x64-based Systems, SP2
    - Internet Explorer 8 on Windows Server 2008 for Itanium-based Systems, SP2
    - Internet Explorer 8 on Windows Server 2008 R2 for x64-based Systems
    - Internet Explorer 8 on Windows Server 2008 R2 for Itanium-based Systems
    - Internet Explorer 8 on Windows 7 for 32-bit Systems
    - Internet Explorer 8 on Windows 7 for x64-based Systems
   
□ 해결책  
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 
  o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-002.mspx


2010/01/21 MS 윈도우 커널 권한상승 취약점 주의

게시자: 고영진, 2010. 2. 28. 오전 11:21   [ 2010. 2. 28. 오전 11:21에 업데이트됨 ]

□ 개요
   o 윈도우 커널이 VDM을 실행할 때 특정 예외를 적절하지 않게 처리하여 권한상승 취약점이 
     발생 [1, 2, 3]
   o 유효한 로컬 사용자 권한을 가진 공격자는 취약점을 이용해 커널 모드에서 임의의 코드를 실행
     할 수 있고 영향 받는 시스템에 대해 완전한 권한을 획득할 수 있음 [1]
   o 해당 취약점이 공개되었으므로 권한 관리가 필요한 시스템의 관리자는 각별한 주의가 요구됨
     ※ 윈도우 커널 : 장치 관리, 메모리 관리, 프로세서 스케줄링 등 시스템 수준의 서비스를 
        제공하는 운영체제의 핵심
     ※ VDM (Virtual DOS Machine) : MS 윈도우 NT 기반의 운영체제 내에서 MS-DOS와 
        16비트 윈도우를 에뮬레이트하는 가상의 서브시스템

□ 해당 시스템
   o 영향 받는 소프트웨어 [1]
     - Microsoft Windows 2000 SP4 for 32-bit Systems
     - Windows XP SP2, SP3 for 32-bit Systems
     - Windows Server 2003 SP2 for 32-bit Systems
     - Windows Vista, SP1, SP2 for 32-bit Systems
     - Windows Server 2008 for 32-bit Systems, SP2
     - Windows 7 for 32-bit Systems
   o 영향 받지 않는 소프트웨어 [1]
     - Windows XP Professional x64 Edition SP2
     - Windows Server 2003 x64 Edition SP2
     - Windows Server 2003 with SP2 for Itanium-based Systems
     - Windows Vista x64 Edition, SP1, SP2
     - Windows Server 2008 for x64-based Systems, SP2
     - Windows Server 2008 for Itanium-based Systems, SP2
     - Windows 7 for x64-based Systems
     - Windows Server 2008 R2 for x64-based Systems
     - Windows Server 2008 R2 for Itanium-based Systems

□ 임시 해결 방안
   o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음
   o NTVDM 서브시스템을 비활성화 [1, 2]
     - "그룹 정책" 콘솔을 실행 : 시작→실행→gpedit.msc을 입력 후 확인버튼 클릭

                                         <"그룹 정책" 콘솔 실행 방법>

     - "그룹 정책" 콘솔에서 "관리 템플릿"→"Windows 구성 요소"→"응용 프로그램 호환성"의 순서로 
       폴더를 확장
     - "16비트 응용 프로그램으로의 액세스를 금지"를 클릭하여 "사용"으로 설정 변경
       ※ 설정을 적용하면 16비트 MS-DOS 또는 윈도우 3.1 응용 프로그램을 사용할 수 없으므로 
          주의 [1, 2]

                              <"Windows Server 2003"의 그룹 정책 콘솔>

   o KrCERT/CC와 MS 보안업데이트 사이트[4]를 주기적으로 확인하여 해당 취약점에 대한 
     보안업데이트 발표 시 신속히 최신 업데이트를 적용하거나 자동업데이트를 설정
     ※ 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택

□ 기타 문의사항
   o 보안업데이트는 언제 발표되나요?
     - 해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해 신속히 
       공지할 예정입니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.microsoft.com/technet/security/advisory/979682.mspx
[2] http://www.vupen.com/english/advisories/2010/0179
[3] http://seclists.org/fulldisclosure/2010/Jan/341
[4] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

2010/01/20 MS IE 신규취약점으로 전파되는 악성코드 전용백신 사용권고

게시자: 고영진, 2010. 2. 28. 오전 11:20   [ 2010. 2. 28. 오전 11:20에 업데이트됨 ]

□ 개요
   o 최근 마이크로소프트사의 Internet Explorer 신규 취약점[1]을 통해 악성코드가 유포되고 있음
   o 해당 악성코드는 이용자 PC의 백신을 종료시키는 기능을 지니고 있어 각별한 주의가 요구됨
   o 이에 감염이 의심되는 이용자는 전용 백신을 다운 받아 실행할 것을 권고함


□ 설명
   o 최근 마이크로소프트의 Internet Explorer 신규 취약점을 통해 악성코드가 유포되고 있음
     - 해당 취약점에 대해 인터넷침해대응센터에서는 “MS Internet Explorer 신규 원격코드실행
       취약점 주의”라는 제목으로 지난 1월 15일에 보안공지를 하였음
     - 유포중인 악성코드는 이용자 PC의 백신 프로그램을 종료시키기는 기능을 지니고 있어 
       백신을 사용하는 이용자 역시 각별한 주의가 요구됨
   o 이에 다음과 같은 증상이 있거나 감염이 의심되는 이용자는 전용 백신을 다운[2,3] 받아 
     실행할 것을 권고함
     - 알 수 없는 오류창이 자주 뜨는 경우
     - Internet Explorer를 실행하였을 경우 오류가 발생하며 종료되는 경우
     - PC가 갑자기 느려진 경우
     - 다음과 같은 파일이 존재하는 경우
       * C:\WINDOWS\system32\mswsock32.dll
       * C:\WINDOWS\system32\imedllhost09.ime


□ 전용백신 다운로드
   o 안철수 연구소
     - http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=94
   o 하우리
     - http://www.hauri.co.kr/business/download/vaccine_view.html?uid=71&page=1&keyfield=&key=
   o 이스트소프트(알약)
     - http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=14

□ 용어 정리
   o Internet Explorer: 미국 마이크로소프트에서 개발한 인터넷 웹 브라우저


□ 기타 문의사항
   o 보안업데이트는 언제 발표되나요?
     - MS 긴급 보안패치가 국내시간 1월 22일 새벽에 업데이트 될 예정으로, 발표시 
       KrCERT 홈페이지를 통해 신속히 공지할 예정입니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 


□ 참고사이트
   [1] http://www.microsoft.com/technet/security/advisory/979352.mspx
   [2] http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=94
   [3] http://www.hauri.co.kr/business/download/vaccine_view.html?uid=71&page=1&keyfield=&key=

1-10 of 17