♬ 사운드를 끄려면 영상 하단 "스피커" 버튼 클릭 후 생성되는 "스피커" 버튼을 누르시기 바랍니다. 광고 사운드로 불편을 드려서 죄송합니다. ♬
| |
특히 해당 취약점은 이미 중국에서 악성코드로 제작이 되어 유포가 시작되었으므로 정식 보안 패치가 공개될 때까지 많은 피해가 예상됩니다.
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
[영향을 받지 않는 운영체제]
Microsoft Windows 2000 Service Pack 4
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
공격 방식은 악의적인 웹 사이트에 사용자가 접속시 원격의 공격자가 심어놓은 코드 실행으로 인하여 긴 데이터(Data)를 포함한 파일을 읽는 과정에서 스트림 비디오(Streaming Video)를 위한 MSVidCtl.dll ActiveX Control(Microsoft Video ActiveX Control)의 Buffer Overflow를 야기시키는 행위를 한다고 알려져 있습니다.
자세한 내용은 안철수연구소(AhnLab)에서 제공하는 보안 권고문을 참고하시기 바라며, 현재 해당 취약점을 임시적으로 차단할 수 있는 방법을 알려드리겠습니다.
MPEG2TuneRequest.zip
제공하는 압축 파일을 다운로드하여 압축을 푸시면 MPEG2TuneRequest.reg 파일이 생성됩니다.
해당 reg 파일에 마우스 우클릭을 통해 생성된 하위 메뉴 중 [병합]을 클릭하여 레지스트리에 추가를 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}
이렇게 추가된 레지스트리 정보는 레지스트리 편집기에서 해당 항목을 확인해 보시면 그림과 같은 정보가 입력되어 있는 것을 확인하실 수 있습니다.
향후 마이크로소프트사에서 해당 보안 취약점에 대한 패치가 공개가 되면, 사용자는 반드시 해당 등록된 레지스트리 정보를 해제를 하시기 바랍니다.
① 레지스트리 편집기를 통하여 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF} 항목에 접근을 하여 우측의 Compatibility Flags 값을 더블클릭합니다.
② Compatibility Flags 값의 16진수로 설정된 400을 0으로 변경을 합니다.
그러면 세 번째 그림과 같이 Compatibility Flags 값이 변경된 것을 확인할 수 있습니다. 이제 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF} 항목 자체에 마우스 우클릭을 하여 해당 레지스트리 값을 삭제하시면 됩니다.
만약 등록된 정보를 그대로 유지할 경우 보안패치가 적용이 되어도 삭제를 하지 않고, 문제의 C:\WINDOWS\system32\msvidctl.dll 파일 정보를 이용할 수 없어서 문제가 되므로 반드시 해제를 하시고 사용하시기 바랍니다.
참고로 안전한 컴퓨터 보안을 위해서는 번거롭더라도 반드시 적용을 하시고 사용하시기 바랍니다.
'벌새::Security' 카테고리의 다른 글
| DDoS 공격의 가해자가 되지 말자! (8) | 2009/07/08 |
|---|---|
| 국내 대형 사이트 공격 피해 (2009.07.07) (0) | 2009/07/07 |
| 마이크로소프트 MSVidCtl Remote Buffer Overflow 제로데이 취약점 (2) | 2009/07/07 |
| Microsoft Security Essentials Beta 성능 테스트 소식 (6) | 2009/06/25 |
| 해외 가짜 백신 : Personal Antivirus 샘플 수집 방법 (0) | 2009/06/25 |
| AhnLab Smart Defense (Beta) : DNA DataBase와 Push Update (2) | 2009/06/18 |
트랙백 주소 :: http://hummingbird.tistory.com/trackback/1184
-
Subject: FCKEditor 패치버전 발표(2.6.4.1)
Tracked from Learning Through It - 2 2009/07/07 07:10 삭제예정대로 FCKEditor 패치버전이 발표됐습니다. 마이너 업데이트인데요. (2.6.4.0 -> 2.6.4.1 )파급효과를 생각했는지 변경내역을 비공개처리했습니다.디핑해보니 파일네임에 특수문자 처리(.,/\|등) 와 저장폴더 확인사살 루틴이 첨부되었습니다. 특이사항으로 perl 만 config 파일(config.pl)을 제거해버리고 connector.cgi 에서자체 처리를 하네요. 이제 서버쪽을 막으셨으니 또 클라이언트쪽 0da...
-
Subject: [0Day] BDATuner.MPEG2TuneRequest Stack Overflow Exploit
Tracked from Virus Lab 2009/07/07 10:47 삭제http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=68 중국내에서 악성코드 유포에 사용되고 있으며, 현재 이 시간 유포가 진행되고 있는 사이트가 존재한다.
-
Subject: MPEG2TuneRequest 제로 데이 취약점 공격 악성코드 발견
Tracked from ASEC Threat Research 2009/07/07 21:03 삭제2009년 7월 4일 한국 시각 23시경, 중국의 일부 웹 사이트들에서 마이크로소프트(Microsoft) 윈도우(Windows) 운영 체제에 포함되어 있는 BDA 튜닝 모델 MPEG2Tune 요청 관련 msvidctl.dll 파일의 스택 기반 오버플로우(Stack based Overflow) 취약점을 악용하는 스크립트 파일이 유포되기 시작하였다.현재 해당 취약점은 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이(Zero-Day) 취약점이며...
-
Subject: MPEG2TuneRequest 취약점 제거 방안
Tracked from ASEC Threat Research 2009/07/07 21:03 삭제ASEC에서는 7월 6일 MPEG2TuneRequest 제로 데이 취약점을 공격하는 스크립트 악성코드인 JS/Exploit-Shellcode의 발견에 대해서 보고 하였다.MPEG2TuneRequest 제로 데이 취약점 공격 악성코드 발견ASEC Advisory SA-2009-009마이크로소프트 MPEG2TuneRequest 제로데이(0-Day) 취약점 주의현재 해당 취약점은 마이크로소프트(Microsoft)에서 보안 패치를 제공하지 않은 제로 데이...
-
Subject: 인터넷 익스플로러에 심각한 보안 결함 발견 (DirectShow 컴포넌트 겨냥)
Tracked from 웹초보의 Tech 2.1 2009/07/08 07:47 삭제잊을만하면 한번씩 터지는 원격 코드실행 공격이지만 이번엔 좀 문제가 심각한 것 같네요. 아무래도 ActiveX의 취약점을 이용해서 비디오 링크를 클릭하면 실행되는 공격이라 파급력이 큰 듯 합니다. MS에서도 단지 이론상의 취약점이 아닌 실제로 해커들에게 이용 당하고 있는 부분이라 명시하고 있습니다. 파이어폭스, 오페라, 크롬 등 다른 브라우저를 사용하는 게 가장 간단한 해결 방법이지만 꼭 IE를 사용해야 한다면 아래 레지스트리 수정을 적용해 주세요...
