본문 바로가기

벌새::Security

Microsoft DirectX DirectShow 제로데이 취약점 : Microsoft Security Advisory (971778)

반응형
마이크로소프트(Microsoft)에서 제공하는 DirectX의 제로데이 취약점이 발표되었습니다.

해당 취약점은 악의적인 QuickTime 미디어 관련 파일을 사용자가 열었을 경우 원격 실행코드가 허용되어 공격자에게 권한을 탈취당할 수 있습니다.

[영향을 받는 소프트웨어]

DirectX 7.0 on Microsoft Windows 2000 Service Pack 4
DirectX 8.1 on Microsoft Windows 2000 Service Pack 4
DirectX 9.0* on Microsoft Windows 2000 Service Pack 4
DirectX 9.0* on Windows XP Service Pack 2 and Windows XP Service Pack 3
DirectX 9.0* on Windows XP Professional x64 Edition Service Pack 2
DirectX 9.0* on Windows Server 2003 Service Pack 2
DirectX 9.0* on Windows Server 2003 x64 Edition Service Pack 2
DirectX 9.0* on Windows Server 2003 with SP2 for Itanium-based Systems

[영향을 받지 않는 OS]

Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

일반적으로 해당 취약점을 이용한 악의적 웹 사이트를 구성하고 사용자를 유도하면 미디어 관련 동작이 실행될 수 있으므로 해당 취약점에 대한 패치가 공개될 동안에는 다음과 같은 우회적인 방법으로 시스템을 보호하시기 바랍니다.(32-Bit 기준)

1. quartz.dll 파일에 포함된 QuickTime parsing 불능화

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
백업하기

레지스트리 항목을 찾아서 해당 항목을 사전에 백업(BackUp)하신 후 해당 항목을 삭제 처리를 합니다.


차후 해당 취약점에 대한 패치가 공개가 되는 시점에서 백업한 reg 파일을 다시 추가하신 후 패치를 적용하시면 됩니다.

2. quartz.dll 파일 등록 해제하기


해당 방법은 quartz.dll 파일에 대하여 등록을 해제하는 방법입니다.

[시작 - 실행 - Regsvr32.exe –u %WINDIR%\system32\quartz.dll] 명령어를 통하여 해당 파일의 등록을 해제하였다가 패치가 공개되는 시점에서 해당 파일을 다시 등록을 하신 후에 패치를 적용하시면 됩니다.

해당 파일의 등록을 하시는 방법은 동일하게 Regsvr32.exe %WINDIR%\system32\quartz.dll 명령어를 통하여 등록하실 수 있습니다.

제로데이 취약점의 경우 보안 패치가 공개되기 전의 기간 동안 전적으로 보안제품에 의지해야 하므로 반드시 신뢰할 수 있는 보안제품을 통하여 실시간 감시를 활성화하고 인터넷을 이용하시기 바라며, 위험한 웹 사이트 방문을 하지 않는 습관도 매우 중요합니다.
728x90
반응형
  • 저도 방금 일본 사이트 놀러 갔다가 해당 부분을 보았습니다. 보니까 이 취약성은 애플 의 Quick Time에서는 취약성이 존재 안한다고 하네요.그리고 언제나 사용 습관도 중요하다고 생각이 들기도 합니다.^^

    • 애플 퀵타임을 별도로 설치했다고 하더라도, 악성 웹페이지를 만들 때 윈도우 미디어 플레이어를 띄우도록 할 수 있으므로 여전히 공격에 취약하게 됩니다.

      http://www.nchovy.kr/forum/2/article/446

      이런 내용도 있더군요. 아직 마소에서 자세한 정보를 제공하지 않고 조사 중이라서 조금 더 기다려봐야겠습니다.