0x04 reference&tools2010. 9. 17. 08:44


[출처 : Symantec]
 
2010년 9월 15일(이하 GMT), RamzAfzar는 최근에 공개된 Adobe Reader에 영향을 주는 'CoolType.dll' TTF (TrueType Font) 취약성에 대한 서드 파티 바이너리 패치를 발표했다. Adobe가 해당 취약성을 인정했으며 2010년 9월 20일에 패치를 발표할 예정이기는 하지만, 현재 해당 취약성에 대한 아무런 공식 패치도 존재하지 않는다. 이 취약성에 대한 공개 공격 코드가 존재하며, 해당 취약성을 겨냥한 실제 네트워크상에서의 제한적인 공격이 보고되었다.
 
RamzAfzar는 이 패치 개발에 관련된 단계적인 설명을 제공한다. 이 바이너리 파일을 간략히 살펴본 결과, 해당 파일에 대한 두 가지의 수정이 이루어 졌음을 확인했다. 우선, jump를 사용해 설명된 바와 같이 해당 취약성을 발생시키는 'strcat()' 함수 호출을 회피하고 있다(그림 1을 확인한다):
 
이 jump는 관련 스택을 지정하고 'strncat()'을 호출하는 데이터 세그먼트의 위치로 이동시킨다. 이후에, 예전 'strcat()' 뒤의 원래 코드로 되돌아 간다(그림 2를 확인한다):
 
이 패치의 특성을 테스트하거나 원래 취약성에 대한 공격을 차단하는지에 대한 검증은 이루어지지 않았으나, 이러한 접근 법은 타당해 보이며 해당 바이너리는 예기치 않은 어떤 변경도 포함하고 있지 않다. 참고로, 수행된 테스트에서는 새로운 코드가 포함된 세그먼트가 실행 가능으로 설정되지 않았다; 이는, DEP로 보호되는 일부 시스템에서는 해당 패치가 정상적으로 동작하는 것을 막을 수 있을 것이다. 또한, Microsoft의 EMET 예방 도구도 해당 취약성을 겨냥한 공격에 대한 보호를 제공하는 것으로 보고되었다.
 
임시 해결방안으로 서드 파티 바이너리를 적용하는 것을 일반적으로 권하진 않지만, 관리자들은 해당 패치를 어느 정도 유용하게 사용할 수 있을 것이다. 이 패치에 대한 상세 정보 및 해당 바이너리에 대한 링크는 RamzAfzar 웹 사이트에서 확인할 수 있다:
 
[Unofficial] 0-Day Acrobat SING Table Vulnerability Patch
https://www.rafzar.com/node/22
 
Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx


Posted by demantos
0x06 vulnerability2010. 9. 15. 15:00
 

CVE-2010-2883 취약점이 나온지 일주일만에 CVE-2010-2884 취약점이 나왔습니다.
아직까지 자세한 이야기는 나오지 않았지만 조만간 해당 취약점을 이용한 악성코드가 유표될 가능성이 커보입니다.

특히 CVE-2010-2884는 안드로이드폰에서 동작하는 Flash Player에도 취약점이 적용되기 때문에 
최근 급증하고 있는 스마트폰 사용자들은 주의를 기울이셔야 할 듯 합니다.

올해는 Adobe의 해(?)라고 해도 과언이 아닐 듯 싶은데요..

그래서 2009년부터 현재까지 이슈가 되었던 Adobe 0-day만 정리해봤습니다.
미리미리 정리해두었다면 쉬웠을텐데 
한꺼번에 할려니 잘 기억도 안나고 -_-;; 빠진것도 많이 있으리라 생각됩니다.


혹, 추가하고자 하시는 취약점이 있으시다면 덧글 달아주세요.
Thanks to 와 함께 제 블로그에 이름이 올라가실 수 있는 영광(?)을 드립니다. ;-)

If you know more 0-day vulnerability about adobe, plz write a comment.
Then I thanks to you and give you honor(?) that get into my post your name. ;-)



CVE Number : CVE-2009-0927
Release Date :  2009.03.04
Affected Version : Adobe Reader and Adobe Acrobat 9 before 9.1, 8 before 8.1.3 , and 7 before 7.1.1
Description : getIcon() Stack Overflow 취약점
Metasploit exploit : windows/fileformat/adobe_geticon
                            windows/browser/adobe_geticon


CVE Number : CVE-2009-4324
Release Date : 2009.12.15
Affected Version : Adobe Reader 9.2 and earlier versions for Windows, Macintosh, and UNIX 
                          Adobe Acrobat 9.2 and earlier versions for Windows and Macintosh 
Description : Doc.media.newPlayer method in Multimedia.api 취약점
Metasploit exploit : windows/fileformat/adobe_media_newplayer
                            windows/browser/adobe_media_newplayer


CVE Number : CVE-2010-1297
Release Date : 2010.06.04
Affected Version : Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions 
                          for Windows, Macintosh, Linux and Solaris
                          Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX 
Description : authplay.dll 컴포넌트 취약점
Metasploit exploit : windows/fileformat/adobe_flashplayer_newfunction
                            windows/browser/adobe_flashplayer_newfunction


CVE Number : CVE-2010-2883
Release Date : 2010.09.08
Affected Version : Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh
Description : Adobe Reader SING Table Parsing 취약점, DEP, ASLR 우회 동작
Metasploit exploit : windows/browser/adobe_cooltype_sing
                            windows/fileformat/adobe_cooltype_sing


CVE Number : CVE-2010-2884
Release Date : 2010.09.13
Affected Version : Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris, 
                          and Adobe Flash Player 10.1.92.10 for Android
                          Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh 
Description : 
Metasploit exploit : not yet



그리고 아래는 Metasploit에서 adobe로 검색한 결과입니다.
보시다시피 위에서 언급한 0-day 외에도 여러가지 exploit이 존재합니다.




Posted by demantos