'어도비'에 해당되는 글 2건

  1. 2009.07.24 어도비(adobe) Zero day 공격
  2. 2008.11.18 어도비 PDF사용자, 업데이트 안하면 해킹 우려있어 (10)

어도비사가 최근에 많은 곤혼을 치루고 있네요. 최근 어도비 문서를 통하여 제로데이 공격을 할수 있는 취약점이 발견 되었습니다.

http://www.avertlabs.com/research/blog/index.php/2009/07/22/new-0-day-attacks-using-pdf-documents/


이와 같은 것은 어도비 아크로벳 리더와 아크로벳 9.1.2 그리고 어도비 플래쉬 같은 곳에서 버그가 있다고 합니다.

                                                                 <사진출처: 맥아피 블로그>

최근엔 이러한 제로데이 공격이 자주 나타나고 있습니다. 사용자들의 각별한 주의를 당부합니다. 국내에서도 어도비 제품을 상당수 사용하고 있기 때문에 이러한 제로데이 공격에 귀를 기울여야 합니다.


*제로데이 공격이란?
어떠한 프로그램에 버그로 인하여 발견이 된 뒤에 패치가 나오기 전 단계를 말하는 것으로 버그가 보고 되자 마자 바로 공격 가능한 형태를 제로데이 공격이라고 하며 하루도 채 걸리지 않는다고 해서 제로데이라고 한다.


Posted by 엔시스

우리가 가장 많이 쓰고 있는 소프트웨어중에 어도비사의 PDF리더 프로그램 일 것이다. 하지만 국내에 지난 11월06일 침해사고 대응센터에 취약성 공고가 났음에도 불구하고 이를 아는 이는 그리 많지 않다.

마침 광파리의 글로벌 IT 이야기 에서
어도비 PDF 보안 취약점 얘기는 왜 한 마디도 없나?  는 포스팅이 있길래 한번더 알려주는 차원에서 포스팅을 하고자 한다.

침해 사고 대응센터 취약성 공고를 살펴 보면 다음과 같다.

□ 개요
  o Adobe Reader 또는 Acrobat의 입력 검증, JavaScript 파싱 등의 오류로 인해 프로그램을
     비정상적으로 종료시키거나, 사용자의 시스템을 제어 가능한 다수의 취약점이 발표됨[1]
  o 낮은 버전의 Adobe Reader / Acrobat 프로그램의 사용으로 인한 악성코드 감염 등의 사고가
     발생할 수 있으므로 사용자의 주의 및 최신버전 설치를 권고함

□ 영향 받는 소프트웨어
  o Adobe Reader 8.1.2 이전 버전(모든 운영체제에 해당)
  o Adobe Acrobat Professional, 3D, Standard 8.1.2 및 이전 버전(모든 운영체제에 해당)

□ 취약점 설명
  o Adobe Reader / Acrobat 취약점 (총 5건)이 이번 보안 업데이트에서 해결됨
     ① 지난 5월에 공개된 원격 서비스 거부 취약점[2] (CVE-2008-2549) 
     ② util.printf() JavaScript 함수의 입력 검증 문제에 의한 스택 버퍼 오버플로우 취약점으로
         원격 코드 실행가능함[3] (CVE-2008-2992)
     ③ Type 1 글꼴을 처리할 때 out-of-bound 배열 인덱싱 에러로 인해 원격 코드 실행 취약점이
         발생함[4, 7] (CVE-2008-4812)
     ④ Collab 객체를 생성 또는 악성 JavaScript를 파싱할 때 원격 코드 실행 취약점이 발생함[4,
         9, 10] (CVE-2008-4813)
     ⑤ JavaScript 메소드에 영향을 주는 입력 검증 취약점으로 인한 원격 코드 실행이 가능함[4]
         (CVE-2008-4814)
     ⑥ Unix 계열의 운영체제에서 발생 가능한 권한 상승 취약점[4] (CVE-2008-4815)
     ⑦ Adobe Reader에서 다운로드 매니저의 취약점으로 윈도우 사용자의 인터넷 보안 옵션을
         변경 가능함[4] (CVE-2008-4816)
     ⑧ Adobe Reader에서 다운로드 매니저의 입력 검증 취약점으로 원격코드 실행이 가능함[4]
         (CVE-2008-4817)

□ 영향
  o 공격자는 상기 취약점을 공격하는 조작된 PDF 파일이 포함된 웹 페이지를 호스팅하거나 또는
     메일첨부로 발송하는 방법 등을 통하여 사용자 PC를 악성코드에 감염시킬수 있음

□ 해결방안
  o Adobe Reader 사용자는 Adobe Reader 9 또는 Adobe Reader 8.1.3으로 업그레이드할 것을
     권고함
     - Adobe Reader 9
        http://www.adobe.com/go/getreader(* 모든OS)
        ※ 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치전 확인 필요
     - Adobe Reader 8.1.3
        http://www.adobe.com/products/acrobat/readstep2_allversions.html(* 모든OS)

  o Adobe Acrobat 사용자는 Adobe Acrobat 8.1.3으로 업그레이드할 것을 권고함
     - Adobe Acrobat 8.1.3 
        http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
        (* 윈도우)
        http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
        (* 매킨토시)
     - Adobe Acrobat 3D Version 8.1.3
        http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows
       (* 윈도우)

  o 취약점 위험도 완화 [5]
     - 웹 브라우저에서 PDF 문서 열기를 비활성화
       * Adobe Reader / Acrobat 실행 -> 편집 메뉴 -> 기본 설정 -> 인터넷 옵션 -> 브라우저에 PDF
          표시 해제
     - Internet Explorer에서 PDF 문서 열기전에 사용자 확인하도록 다음의 .REG 파일을 등록함

      Windows Registry Editor Version 5.00
      [HKEY_CLASSES_ROOT\AcroExch.Document.7]                                  
      "EditFlags"=hex:00,00,00,00
     - Adobe Reader / Acrobat에서 JavaScript 비활성화
       * 편집 -> 기본 설정 -> JavaScript -> Acrobat JavaScript 사용 가능 해제

  o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을
     준수해야 함
     - 신뢰되지 않은 웹사이트의 PDF 파일 다운로드 주의
     - 의심되는 이메일에 포함된 PDF 파일 링크 또는 첨부를 클릭하지 않음
     - 개인방화벽과 백신제품의 사용 등

□ 용어 정리
  o PDF (Portable Document Format: Adobe Systems社가 2D 문서를 표현하기 위해 개발한
     플랫폼 독립적인 파일 형식
  o Adobe Acrobat: PDF 문서 편집/제작을 지원하는 상용 프로그램
  o Adobe Reader: PDF 문서의 편집 기능은 없이 보기/인쇄만 할 수 있는 프리웨어

□ 기타 문의사항
  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118

□ 참고사이트
  [1] http://www.adobe.com/support/security/bulletins/apsb08-19.html
  [2] http://www.securityfocus.com/bid/29420
  [3] http://www.securityfocus.com/bid/30035
  [4] Symantec DeepSight TMS 보고서, "Adobe Acrobat 및 Reader 8.1.2 다수의 보안 취약성"
  [5] http://www.kb.cert.org/vuls/id/593409
  [6] http://www.adobe.com/products/acrobat/access_onlinetools.html
  [7] http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=755
  [8] http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=756
  [9] http://www.zerodayinitiative.com/advisories/ZDI-08-073
  [10]http://www.zerodayinitiative.com/advisories/ZDI-08-074




그래서 한국 어도비사를 방문해 보았다. 하지만 해당 제품에 대한 어떠한 취약성에 대한 업데이트 문구는 찾아 볼수 없었다,. 물론 자사의 프로그램에 대한 취약성을 담는다는게 부담 스러울수도 있지만 어떤 제품이던지 간에 완벽할순 없으니까 그때그때 취약성이 발견될때 오히려 제품 사용자에게 알려 주는 것이 옳다고 생각한다.


사용자에게 사랑받는 제품일수록 더욱 신뢰감을 가질수 있는 후속 조치를 취하는게 좋겠다. 거기에는 보안적인 면도 언급이 되어 주의 할것을 당부하는 내용도 포함이 되었으면 좋겠다.

그것이 사용자에게 사랑받을수 있는 최우선적인 방법이라는 것을 기억해야 할 것이다.


Posted by 엔시스