'third-party patch'에 해당되는 글 1건

  1. 2010.09.17 Adobe Reader 취약점에 대한 Thrid-Party 패치 발표 (CVE-2010-2883)
0x04 reference&tools2010. 9. 17. 08:44


[출처 : Symantec]
 
2010년 9월 15일(이하 GMT), RamzAfzar는 최근에 공개된 Adobe Reader에 영향을 주는 'CoolType.dll' TTF (TrueType Font) 취약성에 대한 서드 파티 바이너리 패치를 발표했다. Adobe가 해당 취약성을 인정했으며 2010년 9월 20일에 패치를 발표할 예정이기는 하지만, 현재 해당 취약성에 대한 아무런 공식 패치도 존재하지 않는다. 이 취약성에 대한 공개 공격 코드가 존재하며, 해당 취약성을 겨냥한 실제 네트워크상에서의 제한적인 공격이 보고되었다.
 
RamzAfzar는 이 패치 개발에 관련된 단계적인 설명을 제공한다. 이 바이너리 파일을 간략히 살펴본 결과, 해당 파일에 대한 두 가지의 수정이 이루어 졌음을 확인했다. 우선, jump를 사용해 설명된 바와 같이 해당 취약성을 발생시키는 'strcat()' 함수 호출을 회피하고 있다(그림 1을 확인한다):
 
이 jump는 관련 스택을 지정하고 'strncat()'을 호출하는 데이터 세그먼트의 위치로 이동시킨다. 이후에, 예전 'strcat()' 뒤의 원래 코드로 되돌아 간다(그림 2를 확인한다):
 
이 패치의 특성을 테스트하거나 원래 취약성에 대한 공격을 차단하는지에 대한 검증은 이루어지지 않았으나, 이러한 접근 법은 타당해 보이며 해당 바이너리는 예기치 않은 어떤 변경도 포함하고 있지 않다. 참고로, 수행된 테스트에서는 새로운 코드가 포함된 세그먼트가 실행 가능으로 설정되지 않았다; 이는, DEP로 보호되는 일부 시스템에서는 해당 패치가 정상적으로 동작하는 것을 막을 수 있을 것이다. 또한, Microsoft의 EMET 예방 도구도 해당 취약성을 겨냥한 공격에 대한 보호를 제공하는 것으로 보고되었다.
 
임시 해결방안으로 서드 파티 바이너리를 적용하는 것을 일반적으로 권하진 않지만, 관리자들은 해당 패치를 어느 정도 유용하게 사용할 수 있을 것이다. 이 패치에 대한 상세 정보 및 해당 바이너리에 대한 링크는 RamzAfzar 웹 사이트에서 확인할 수 있다:
 
[Unofficial] 0-Day Acrobat SING Table Vulnerability Patch
https://www.rafzar.com/node/22
 
Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx


Posted by demantos