'워드'에 해당되는 글 5건

  1. 2017.04.13 MS 4월 보안 위협에 따른 정기 보안 업데이트
  2. 2014.01.27 아래한글 임의코드 실행 취약점 보안 업데이트
  3. 2012.03.09 안랩, APT 공격 대응 솔루션 '트러스와처 2.0' (1)
2017.04.13 10:50

MS 4월 보안 위협에 따른 정기 보안 업데이트

이미 한 달 동안 악용된 워드 제로데이, 패치 나왔다

http://www.boannews.com/media/view.asp?idx=54229&kind=4

OLE 애플리케이션과 관련된 CVE-2017-0199 취약점
이미 여러 멀웨어와 결합된 채 활발히 악용되고 있어...패치 필수



□ 4월 보안업데이트 개요(총 10종)
 
o 발표일 : 2017.04.12.(수)
o 등급 : 긴급(Critical) 9종, 중요(Important) 1종
o 업데이트 내용
 

KB번호중요도발생 위치영향
KB 2589382긴급Office, Office Services, Web Apps원격 코드 실행
KB 3211308긴급Windows Vista, Server 2008원격 코드 실행
KB 4014661긴급Internet Explorer원격 코드 실행
KB 4014981긴급.NET Framework원격 코드 실행
KB 4015217긴급Windows 10, Server 2016원격 코드 실행
KB 4015549긴급Windows 7, Server 2008 R2원격 코드 실행
KB 4015550긴급Windows 8.1, RT 8.1, Server 2012 R2원격 코드 실행
KB 4015551긴급Windows Server 2012원격 코드 실행
KB 4017094중요Silverlight정보 노출
KB 4018483긴급Adobe Flash Player원격 코드 실행

 
 
[KB 2589382] Office 보안 업데이트
 
□ 설명
o 이용자가 특수 제작된 악성 Office 파일을 열람하는 경우, 원격 코드 실행이 허용되는 취약점
 
o 관련취약점 :
- 다중 원격 코드실행 취약점(CVE-2017-0106, 0199)
- 권한 상승 취약점(CVE-2017-0195)
- DLL 로드 취약점(CVE-2017-0197)
- 스푸핑 취약점(CVE-2017-0207)
- 메모리 손상 취약점(CVE-2017-0194)
- 보안 기능 우회 취약점(CVE-2017-0204)
 
o 영향 : 원격코드실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/2589382
- 영문 : https://support.microsoft.com/en-us/help/2589382
 
o 관련 KB 번호
- 2589382, 3101522, 3118388, 3127890, 3127895, 3141529, 3141538, 3172519, 3178664, 3178702, 3178703, 3178710, 3178725, 3191827, 3191829, 3191830, 3191845, 3191847, 3212218
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 3211308] Winddows Vista, Server 2008 보안 업데이트
 
□ 설명
o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 취약점
 
o 관련취약점 :
- 스크립팅 엔진 메모리 손상 취약점(CVE-2017-0158)
- 다중 정보 노출 취약점(CVE-2013-6629, CVE-2017-0058, 0168, 0192)
- Hyper-V 서비스 거부 취약점(CVE-2017-0184)
- 다중 원격 코드 실행 취약점(CVE-2017-0163, 0180, 0199)
- 다중 권한 상승 취약점(CVE-2017-0155, 0166)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/3211308
- 영문 : https://support.microsoft.com/en-us/help/3211308
 
o 관련 KB 번호
- 3211308, 3217841, 4014652, 4014793, 4014794, 4015067, 4015068, 4015195, 4015380, 4015383
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4014661] Internet Explorer 보안 업데이트
 
□ 설명
o 이용자가 Internet Explorer로 특수하게 제작된 악성 웹 페이지를 열람할 경우, 원격 코드 실행이 허용되는 취약점
 
o 관련취약점 :
- 권한 상승 취약점(CVE-2017-0210)
- 다중 메모리 손상 취약점(CVE-2017-0201, 0202)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4014661
- 영문 : https://support.microsoft.com/en-us/help/4014661
 
o 관련 KB 번호
- 4014661, 4015217, 4015219, 4015221, 4015549, 4015550, 4015551, 4015583
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4014981] .NET Framework 보안 업데이트
 
□ 설명
o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행시켜 비정상적인 유효성 검사가 이루어질 경우, 원격 코드 실행이 허용되는 취약점
 
o 관련취약점 :
- 원격 코드 실행 취약점(CVE-2017-0160)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4014981
- 영문 : https://support.microsoft.com/en-us/help/4014981
 
o 관련 KB 번호
- 4014981, 4014982, 4014983, 4014984, 4015217, 4015219, 4015221, 4015583
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4015217] Windows 10, Server 2016 보안 업데이트
 
□ 설명
o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 취약점
 
o 관련취약점 :
- 다중 메모리 손상 취약점(CVE-2017-0093, 0158, 0200, 0205)
- 다중 정보 노출 취약점(CVE-2013-6629, CVE-2017-0058, 0167, 0188, 0192, 0208)
- 다중 서비스 거부 취약점(CVE-2017-0164, 0178, 0179, 0182, 0183, 0184, 0185, 0186, 0191)
- Hyper-V 원격 코드 실행 취약점(CVE-2017-0162, 0163, 0180, 0181)
- 다중 권한 상승 취약점(CVE-2017-0156, 0165, 0166, 0189, 0211)
- 다중 보안 기능 우회 취약점(CVE-2017-0159, 0203)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4015217
- 영문 : https://support.microsoft.com/en-us/help/4015217
 
o 관련 KB 번호
- 4015217, 4015219, 4015221, 4015583
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4015549] Windows 7, Server 2008 R2 보안 업데이트
 
□ 설명
o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 취약점
 
o 관련취약점 :
- 스크립팅 엔진 메모리 손상 취약점(CVE-2017-0158)
- 다중 정보 노출 취약점(CVE-2013-6629, CVE-2017-0058, 0168, 0192)
- 다중 원격 코드 실행 취약점(CVE-2017-0163, 0180, 0199)
- 다중 서비스 거부 취약점(CVE-2017-0182, 0183, 0184, 0191)
- 다중 권한 상승 취약점(CVE-2017-0155, 0156, 0166)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4015549
- 영문 : https://support.microsoft.com/en-us/help/4015549
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4015550] Windows 8.1, RT 8.1, Server 2012 R2 보안 업데이트
 
□ 설명
o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 취약점
 
o 관련취약점 :
- 스크립팅 엔진 메모리 손상 취약점(CVE-2017-0158)
- 다중 정보 노출 취약점(CVE-2013-6629, CVE-2017-0058, 0167, 0168, 0169, 0188, 0192)
- 다중 서비스 거부 취약점(CVE-2017-0178, 0179, 0182, 0183, 0184, 0185, 0186, 0191)
- Hyper-V 원격 코드 실행 취약점(CVE-2017-0162, 0163, 0180)
- 다중 권한 상승 취약점(CVE-2017-0156, 0165, 0166, 0211)
- ADFS 보안 기능 우회 취약점(CVE-2017-0159)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4015550
- 영문 : https://support.microsoft.com/en-us/help/4015550
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4015551] Windows Server 2012 보안 업데이트
 
□ 설명
o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 취약점
 
o 관련취약점 :
- 스크립팅 엔진 메모리 손상 취약점(CVE-2017-0158)
- 다중 원격 코드 실행 취약점(CVE-2017-0163, 0180, 0199)
- 다중 서비스 거부 취약점(CVE-2017-0182, 0183, 0184, 0185, 0186, 0191)
- 다중 정보 노출 취약점(CVE-2013-6629, CVE-2017-0058, 0168, 0169, 0188, 0192)
- 다중 권한 상승 취약점(CVE-2017-0166, 0211)
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4015551
- 영문 : https://support.microsoft.com/en-us/help/4015551
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4017094] Silverlight용 보안 업데이트
 
□ 설명
o 공격자가 jpeg 라이브러리를 메모리에서 정상적으로 다루지 못하게 할 경우, ASLR 보안기능 우회에 필요한 정보가 노출되는 취약점
 
o 관련취약점 :
- libjpeg 정보 노출 취약점(CVE-2013-6629)
 
o 영향 : 정보 노출
 
o 중요도 : 중요
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/4017094
- 영문 : https://support.microsoft.com/en-us/help/4017094
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[KB 4018483] Adobe Flash Player 보안 업데이트
 
□ 설명
o 지원되는 모든 버전의 Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 및 Windows Server 2016에 설치된 Adobe Flash Player의 취약점을 해결
 
o 관련취약점 :
- Adobe 보안 업데이트 APSB17-10에 설명된 취약점
 
o 영향 : 원격 코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://support.microsoft.com/ko-kr/help/KB4018483
- 영문 : https://support.microsoft.com/en-us/help/KB4018483
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용


Trackback 0 Comment 0
2014.01.27 17:46

아래한글 임의코드 실행 취약점 보안 업데이트

개요

  • 한글과컴퓨터社의 아래한글 등 오피스 프로그램에서 임의 코드실행이 가능한 취약점이 발견됨 [1]
    • 공격자는 특수하게 조작한 웹페이지 방문 유도 또는 웹 게시물, 메일, 메신저의 링크 등을 통해 특수하게 조작된 문서를 열어보도록 유도하여 임의코드를 실행시킬 수 있음
  • 영향 받는 버전의 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 보안 업데이트를 권고함


해당 시스템

 

 

해결 방안

  • 한글과컴퓨터 홈페이지에서 보안업데이트 파일을 직접 다운로드 받아 설치하여 영향 받지 않는 버전(보안#16)으로 업데이트
  • 한글과컴퓨터 자동 업데이트를 통해 최신버전으로 업데이트
    • 시작 → 모든 프로그램 → 한글과컴퓨터 → 한글과컴퓨터 자동 업데이트


문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


기타

  • 한/셀 임의코드 실행 취약점은 KrCERT 홈페이지를 통해 장태윤(cdpython)님께서 제공해주셨습니다.

 

[참고사이트]

[1] http://www.hancom.co.kr/downLoad.downPU.do?mcd=001


Trackback 0 Comment 0
2012.03.09 18:45

안랩, APT 공격 대응 솔루션 '트러스와처 2.0'

- ATP 공격 원천 봉쇄하는 ‘트러스와처 2.0’ 신제품 국제 컨퍼런스에서 첫 선
- 내부 비밀 프로젝트로 APT 공격 패턴 분석해 신기술 개발 성공 
- 세계 최초로 악성문서파일(워드/아래아한글/PDF 등) 통한 공격 탐지
 
글로벌 보안 기업 안랩(대표 김홍선, 
www.ahnlab.com, 구 안철수연구소)은 2월 28일, 미국 샌프란시스코에서 열리는 국제 컨퍼런스인 ‘RSA 2012’에서 세계 최초로 APT 대응 신기술을 탑재한 ‘트러스와처 2.0(AhnLab TrusWatcher 2.0)’ 신제품을 첫 공개했다. IT 본고장인 미국에서 신기술을 첫 발표함으로써 세계적 기술력을 과시한 것이다. 

*사진 설명 : RSC 컨퍼런스 전시 부스에 선보인 신제품 ‘트러스와처 2.0’

트러스와처는 안랩의 악성코드 분석 기술과 네트워크 보안 기술이 융합된 보안 솔루션이다. 이번에 공개한 신제품 트러스와처 2.0에는 안랩이 세계 최초로 개발한 ‘DICA(Dynamic Intelligent Contents Analysis) 기술’이 탑재됐다. 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술을 보유한 트러스와처 2.0은 DICA 신기술 탑재로 APT를 비롯한 지능적 보안 위협에 더욱 강력한 대응력을 확보하게 됐다. 

최근 APT 공격에는 다양한 형태의 악성코드가 활용되는데, 그 중에서도 초기 침입 단계에서는 탐지가 거의 안 되는 주로 악성 문서 파일을 이용해 이루어진다. 그 이유는 각종 문서 관련 애플리케이션들의 기능이 확장되고 복잡해짐에 따라 운영체제(OS)만큼 많은 취약성이 발견되기 때문이다. 악성 문서 파일을 이용한 공격 사례는 RSA사의 알고리즘 유출 사고, 5년 6개월 동안 조직적으로 이루어진 오퍼레이션 셰이디 RAT가 대표적이다(보충 설명 참고). 또한 문서 파일 내 플래시 같은 다른 애플리케이션의 객체를 포함할 수 있게 됨에 따라 공격 코드를 은닉하기가 더욱 쉬워졌다. 

또한 악성코드가 문서 파일에 포함되어 있을 경우 문서 파일의 변경에 따라 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다. 또한 주의를 기울이지만, 첨부된 문서 파일에는 경계심이 약한 점 역시 문서 파일이 APT 공격에 악용되는 이유이다. 
안랩이 장기간 심혈을 기울여 개발한 DICA 기술은 바로 이러한 악성 문서 파일(Unknown Document Malware)를 정밀하게 검사하고 지능적 탐지 알고리즘에 의해 차단한다. 즉, 워드, 아래아한글, PDF 등 각종 문서 리더 및 편집기를 비롯해 플래시 플레이어나 웹브라우저의 취약점을 이용해 전파되는 문서 및 스크립트 악성 파일을 효과적으로 검출해낸다. 결국 트러스와처 2.0은 현재 최대의 보안 위협인 APT(Advanced Persistent Threat) 공격을 아예 초기 단계에서 근원적으로 차단해주는 것이다.

안랩은 APT 공격이 보고된 초기부터 내부 비밀 프로젝트로 APT 공격 패턴을 분석하고, 이에 대한 전방위 대응 방안을 개발해 왔으며, 그 결실로 ‘DICA’ 기술을 발표하게 됐다.
안랩이 발표한 DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비 실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다. 또한 향후 발견될 취약점을 이용한 변종 악성 파일에도 근본적으로 대응하는 획기적인 기술이다. 이에 안랩은 DICA 기술을 국내 및 전세계 특허를 출원할 계획이다. 

안랩 김홍선 대표는 “APT 공격은 네트워크 트래픽과 그 안에 숨겨진 콘텐츠를 정확히 분석해야 효과적으로 방어할 수 있다. 클라우드 기반 보안 기술과 네트워크 보안 역량을 갖춘 안랩은 세계 최초 DICA 기술로 차별적 우월성을 강화하게 됐다. IT 본고장인 미국에서 첫 발표를 한 자신감을 바탕으로 글로벌 시장에서 의미 있는 성과를 낼 것이다.”라고 강조했다.

출처 : <Ahn> 안철수연구소

Trackback 0 Comment 1
  1. aval 2012.03.10 07:35 address edit & del reply

    atp공격대응용이 문서 검사하는거라면 안랩이 사기치는거라고 보이는군요.
    평소 안랩 제품이 이름에 비해 별로라고 생각하고 있었는데 요거는 그 중 최악이겠군요.