hi.pe.kr 날으는물고기·´″°³о♡

2010년 3월 31일 (수)에 긴급히 발표된 마이크로소프트 보안 공지 내용을 요약하여 제공합니다.

================================================
신규 보안 공지
================================================

마이크로소프트는 새로 발견된 취약점에 대하여 다음과 같이 1개의 신규 보안 공지를 발표합니다.

MS10-018 (긴급) Internet Explorer 5.01, 6, 7, 8 (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)


================================================
보안 공지 웹캐스트
================================================

마이크로소프트는 이번 공지에 대한 고객 질문에 답하는 웹캐스트를 진행합니다.

제목: Information About Microsoft's March 2010 (OOB) Out-of-Band Security Bulletin Release
일시: 2010년 3월 31일 (수) 오전 5시 (한국 시각)
URL: https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032448112
주의: 모든 나라에서 동시에 참여할 수 있는 질의 응답이기 때문에 영어로 진행됩니다.


=================================================
관련 자료
=================================================

보안 권고 981374: Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점
http://www.microsoft.com/korea/technet/security/advisory/981374.mspx

마이크로소프트 보안 대응 센터 (MSRC) 블로그
http://blogs.technet.com/msrc/

마이크로소프트 보안 연구 및 방어팀 (SRD) 블로그
http://blogs.technet.com/srd/

마이크로소프트 악성 코드 방어 센터 (MMPC) 블로그
http://blogs.technet.com/mmpc/


================================================
보안 공지 기술 세부 사항
================================================

아래 영향을 받는 소프트웨어와 영향을 받지 않는 소프트웨어 표에서, 나열되지 않은 소프트웨어는 지원 기간이 지난 제품입니다. 제품과 버전에 대한 지원 기간을 보려면 마이크로소프트 지원 기간 페이지

http://support.microsoft.com/lifecycle/ 를 참고하여 주십시오.

-------------------------------------------------
보안 공지 MS10-018
-------------------------------------------------

제목: Internet Explorer 누적 보안 업데이트 (980182)

요약: 이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 9건과 공개된 취약점 1건을 해결합니다.
가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다.
보안 업데이트는 Internet Explorer에서 스크립트 원본을 확인하고 메모리, 인코딩 문자열을 사용한 콘텐츠 및 긴 URL에서 개체를 처리하는 방식을 수정하여 이러한 취약점을 해결합니다.

이 보안 업데이트는 Microsoft 보안 권고 981374에서 처음 설명한 취약점도 해결합니다.

최대 심각도: 긴급

영향을 받는 소프트웨어:
- Internet Explorer 5.01
- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8

- Windows 2000
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
(아래 링크에서 영향을 받는 소프트웨어와 다운로드 위치를 확인하십시오)

취약점:
- 초기화되지 않은 메모리 손상 취약점 (CVE-2010-0267)
- 인코딩 후 정보 유출 취약점 (CVE-2010-0488)
- 경쟁 조건 메모리 손상 취약점 (CVE-2010-0489)
- 초기화되지 않은 메모리 손상 취약점 (CVE-2010-0490)
- HTML 개체 메모리 손상 취약점 (CVE-2010-0491)
- HTML 개체 메모리 손상 취약점 (CVE-2010-0492)
- HTML 요소 도메인 간 취약점 (CVE-2010-0494)
- 메모리 손상 취약점 (CVE-2010-0805)
- 초기화되지 않은 메모리 손상 취약점 (CVE-2010-0806)
- HTML 렌더링 메모리 손상 취약점 (CVE-2010-0807)

취약점으로 인한 영향: 원격 코드 실행, 정보 유출

시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.

이번 업데이트로 대체되는 보안 공지: MS10-002

상세 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS10-018.mspx


=================================================
정보의 일관성
=================================================

본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다.
웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다.
이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.


기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

감사합니다.
한국마이크로소프트 고객지원부

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Today, our friends at Trend Micro blogged about a new attack vector using Microsoft Word documents. We saw this as well last week, and have written a detection for the dropped trojan.

It’s not just a “lawsuit” that’s being spammed, we also picked up another form of this attack in our honeypots over the weekend:

When you open the Word document, you see a “PDF”, but it’s actually not. It’s a JPG, which links to an executable.

In Word 2007, it’s kind of like the Amish virus: The user has to really want to get infected.

Latest VirusTotal detection here.

Alex Eckelberry

원문 : http://sunbeltblog.blogspot.com

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

A rough list of the security checks offered by the tool is outlined below.

• High risk flaws (potentially leading to system compromise):
  • Server-side SQL injection (including blind vectors, numerical parameters).
  • Explicit SQL-like syntax in GET or POST parameters.
  • Server-side shell command injection (including blind vectors).
  • Server-side XML / XPath injection (including blind vectors).
  • Format string vulnerabilities.
  • Integer overflow vulnerabilities.
  • Locations accepting HTTP PUT.

• Medium risk flaws (potentially leading to data compromise):
  • Stored and reflected XSS vectors in document body (minimal JS XSS support present).
  • Stored and reflected XSS vectors via HTTP redirects.
  • Stored and reflected XSS vectors via HTTP header splitting.
  • Directory traversal (including constrained vectors).
  • Assorted file POIs (server-side sources, configs, etc).
  • Attacker-supplied script and CSS inclusion vectors (stored and reflected).
  • External untrusted script and CSS inclusion vectors.
  • Mixed content problems on script and CSS resources (optional).
  • Incorrect or missing MIME types on renderables.
  • Generic MIME types on renderables.
  • Incorrect or missing charsets on renderables.
  • Conflicting MIME / charset info on renderables.
  • Bad caching directives on cookie setting responses.

• Low risk issues (limited impact or low specificity):
  • Directory listing bypass vectors.
  • Redirection to attacker-supplied URLs (stored and reflected).
  • Attacker-supplied embedded content (stored and reflected).
  • External untrusted embedded content.
  • Mixed content on non-scriptable subresources (optional).
  • HTTP credentials in URLs.
  • Expired or not-yet-valid SSL certificates.
  • HTML forms with no XSRF protection.
  • Self-signed SSL certificates.
  • SSL certificate host name mismatches.
  • Bad caching directives on less sensitive content.

• Internal warnings:
  • Failed resource fetch attempts.
  • Exceeded crawl limits.
  • Failed 404 behavior checks.
  • IPS filtering detected.
  • Unexpected response variations.
  • Seemingly misclassified crawl nodes.

• Non-specific informational entries:
  • General SSL certificate information.
  • Significantly changing HTTP cookies.
  • Changing Server, Via, or X-... headers.
  • New 404 signatures.
  • Resources that cannot be accessed.
  • Resources requiring HTTP authentication.
  • Broken links.
  • Server errors.
  • All external links not classified otherwise (optional).
  • All external e-mails (optional).
  • All external URL redirectors (optional).
  • Links to unknown protocols.
  • Form fields that could not be autocompleted.
  • Password entry forms (for external brute-force).
  • File upload forms.
  • Other HTML forms (not classified otherwise).
  • Numerical file names (for external brute-force).
  • User-supplied links otherwise rendered on a page.
  • Incorrect or missing MIME type on less significant content.
  • Generic MIME type on less significant content.
  • Incorrect or missing charset on less significant content.
  • Conflicting MIME / charset information on less significant content.
  • OGNL-like parameter passing conventions.

Along with a list of identified issues, skipfish also provides summary overviews of document types and issue types found; and an interactive sitemap, with nodes discovered through brute-force denoted in a distinctive way.

How to run the scanner?

Once you have the dictionary selected, you can try:

$ ./skipfish -o output_dir http://www.example.com/some/starting/path.txt

Note that you can provide more than one starting URL if so desired; all of them will be crawled.

Some sites may require authentication; for simple HTTP credentials, you can try:

$ ./skipfish -A user:pass ...other parameters...

Alternatively, if the site relies on HTTP cookies instead, log in in your browser or using a simple curl script, and then provide skipfish with a session cookie:

$ ./skipfish -C name=val ...other parameters...

Other session cookies may be passed the same way, one per each -C option.

Certain URLs on the site may log out your session; you can combat this in two ways: by using the -N option, which causes the scanner to reject attempts to set or delete cookies; or with the -X parameter, which prevents matching URLs from being fetched:

$ ./skipfish -X /logout/logout.aspx ...other parameters...

The -X option is also useful for speeding up your scans by excluding /icons/, /doc/, /manuals/, and other standard, mundane locations along these lines. In general, you can use -X, plus -I (only spider URLs matching a substring) and -S (ignore links on pages where a substring appears in response body) to limit the scope of a scan any way you like - including restricting it only to a specific protocol and port:

$ ./skipfish -I http://example.com:1234/ ...other parameters...

Another useful scoping option is -D - allowing you to specify additional hosts or domains to consider in-scope for the test. By default, all hosts appearing in the command-line URLs are added to the list - but you can use -D to broaden these rules, for example:

$ ./skipfish -D test2.example.com -o output-dir http://test1.example.com/

...or, for a domain wildcard match, use:

$ ./skipfish -D .example.com -o output-dir http://test1.example.com/

In some cases, you do not want to actually crawl a third-party domain, but you trust the owner of that domain enough not to worry about cross-domain content inclusion from that location. To suppress warnings, you can use the -B option, for example:

$ ./skipfish -B .google-analytics.com -B .googleapis.com ...other parameters...

By default, skipfish sends minimalistic HTTP headers to reduce the amount of data exchanged over the wire; some sites examine User-Agent strings or header ordering to reject unsupported clients, however. In such a case, you can use -b ie or -b ffox to mimic one of the two popular browsers.

But seriously, how to run it?

A standard, authenticated scan of a well-designed and self-contained site (warns about all external links, e-mails, mixed content, and caching header issues):

$ ./skipfish -MEU -C "AuthCookie=value" -X /logout.aspx -o output_dir http://www.example.com/

Five-connection crawl, but no brute-force; pretending to be MSIE and caring less about ambiguous MIME or character set mismatches:

$ ./skipfish -m 5 -LVJ -W /dev/null -o output_dir -b ie http://www.example.com/

Brute force only (no HTML link extraction), trusting links within example.com and timing out after 5 seconds:

$ ./skipfish -B .example.com -O -o output_dir -t 5 http://www.example.com/

For a short list of all command-line options, try ./skipfish -h.

Oy! Something went horribly wrong!

There is no web crawler so good that there wouldn't be a web framework to one day set it on fire. If you encounter what appears to be bad behavior (e.g., a scan that takes forever and generates too many requests, completely bogus nodes in scan output, or outright crashes), please first check our known issues page. If you can't find a satisfactory answer there, recompile the scanner with:

$ make clean debug

...and re-run it this way:

$ ./skipfish [...previous options...] 2>logfile.txt

You can then inspect logfile.txt to get an idea what went wrong; if it looks like a scanner problem, please scrub any sensitive information from the log file and send it to the author.

If the scanner crashed, please recompile it as indicated above, and then type:

$ ulimit -c unlimited 
$ ./skipfish [...previous options...] 2>logfile.txt 
$ gdb --batch -ex back ./skipfish core

...and be sure to send the author the output of that last command as well.


원문 : http://code.google.com/p/skipfish/

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.