본문 바로가기

벌새::Security

Microsoft MSVidCtl Remote Buffer Overflow 제로데이 취약점 보안 권고

반응형
마이크로소프트(Microsoft) Windows의 MPEG2TuneRequest(BDA 튜닝 모델 MPEG2 튠 요청) 제로데이(ZeroDay) 취약점이 발표가 되었습니다.

특히 해당 취약점은 이미 중국에서 악성코드로 제작이 되어 유포가 시작되었으므로 정식 보안 패치가 공개될 때까지 많은 피해가 예상됩니다.
 

[영향을 받는 운영체제]

Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems

[영향을 받지 않는 운영체제]

Microsoft Windows 2000 Service Pack 4
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

 

공격 방식은 악의적인 웹 사이트에 사용자가 접속시 원격의 공격자가 심어놓은 코드 실행으로 인하여 긴 데이터(Data)를 포함한 파일을 읽는 과정에서 스트림 비디오(Streaming Video)를 위한 MSVidCtl.dll ActiveX Control(Microsoft Video ActiveX Control)의 Buffer Overflow를 야기시키는 행위를 한다고 알려져 있습니다.

자세한 내용은 안철수연구소(AhnLab)에서 제공하는 보안 권고문을 참고하시기 바라며, 현재 해당 취약점을 임시적으로 차단할 수 있는 방법을 알려드리겠습니다.

[임시 해결 파일 다운로드 : reg 파일]

MPEG2TuneRequest.zip
다운로드


제공하는 압축 파일을 다운로드하여 압축을 푸시면 MPEG2TuneRequest.reg 파일이 생성됩니다.


해당 reg 파일에 마우스 우클릭을 통해 생성된 하위 메뉴 중 [병합]을 클릭하여 레지스트리에 추가를 합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}


이렇게 추가된 레지스트리 정보는 레지스트리 편집기에서 해당 항목을 확인해 보시면 그림과 같은 정보가 입력되어 있는 것을 확인하실 수 있습니다.

향후 마이크로소프트사에서 해당 보안 취약점에 대한 패치가 공개가 되면, 사용자는 반드시 해당 등록된 레지스트리 정보를 해제를 하시기 바랍니다.


① 레지스트리 편집기를 통하여 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF} 항목에 접근을 하여 우측의 Compatibility Flags 값을 더블클릭합니다.

② Compatibility Flags 값의 16진수로 설정된 400을 0으로 변경을 합니다.

그러면 세 번째 그림과 같이 Compatibility Flags 값이 변경된 것을 확인할 수 있습니다. 이제 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF} 항목 자체에 마우스 우클릭을 하여 해당 레지스트리 값을 삭제하시면 됩니다.

만약 등록된 정보를 그대로 유지할 경우 보안패치가 적용이 되어도 삭제를 하지 않고, 문제의 C:\WINDOWS\system32\msvidctl.dll 파일 정보를 이용할 수 없어서 문제가 되므로 반드시 해제를 하시고 사용하시기 바랍니다.

참고로 안전한 컴퓨터 보안을 위해서는 번거롭더라도 반드시 적용을 하시고 사용하시기 바랍니다.

 

728x90
반응형
  • 오늘도삽질 2009.07.13 08:22 댓글주소 수정/삭제 댓글쓰기

    당했습니다.
    처리하는데 10시간 이상 소모했습니다.
    눈감으면 수많은 클래스아이디가 아른거리고 system32의 스압이 느껴져요 ㅎㅎ

    네이버 뉴스캐스트 거쳐서 KBS쪽에서 내려받은듯한데.. 아주 스무스하더라구요.
    트리거가 안된건지 인터넷접속시도가 없어서 방화벽도 조용했죠.
    백신없이 산지 몇년되었지만 이렇게 클릭 한번없이 당해보긴 난생 처음입니다.

    우리 국영방송국의 간지넘치는 선물은요, ahnrpta.exe가 얼굴마담이고요, 셸확장, BHO, 서비스항목, 시작프로그램, 시스템드라이버 등등 아주 다채롭고도 지루하지 않은 구성입니다.. 파일 속성과 레지 퍼미션 조정은 츠키다시..
    그래도 다행히 사이드디쉬로 딸려온 오토런 바이러스때문에 빨리 알았네요.
    이렇게 티나는건 왜 넣죠? 알아서 눈치까라는 배포자의 알흠다운 배려인가요?