파이어폭스 제로 데이 취약점 분석 :: 2010/10/28 12:24

/취약점 이슈

안철수연구소 ASEC에서는 27일인 어제 노벨 평화 상(Nobel Peace Prize) 웹 사이트에서 웹 브라우저(Web Browser)인 파이어폭스(Firefox)에 존재하는 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 악성코드를 유포한 사고가 발생한 사실을 전한 바가 있다.


파이어폭스에 존재하는 알려지지 않은 제로 데이 취약점은 힙 스프레이(Heap Spray) 버퍼오버플로우(BufferOverflow)를 이용한 코드 실행 취약점으로 분석된다.

이 번에 발견된 해당 웹 브라우저의 제로 데이 취약점을 악용하는 자바 스크립트(Java Script)는 아래 이미지와 같은 쉘코드(Shellcode)를 포함하고 있다.

사용자 삽입 이미지
그리고 해당 제로 데이 취약점을 악용하기 위한 대상으로는 아래 이미지와 같은 코드에서 처럼 마이크로소프트(Microsoft) 비스타(Vista) 운영체제 이하 버전의 운영체제에 설치 되어 있는 파이어폭스 3.6 버전들을 대상으로 하고 있다.

사용자 삽입 이미지

함께 다운로드된 악성코드(scvhost.txt)는 힙 스프레이(Heap Spray) 버퍼오버플로우(BufferOverflow)를 이용해 scvhost.exe 라는 파일명으로 윈도우 임시 폴더(%temp%)에 복사한 후 실행하도록 구성되어 있다.

사용자 삽입 이미지

자바 스크립트에 의해 파일이 생성될 경우에는 scvhost.exe이지만 트로이목마 단독으로 실행 될 경우에는 symantec.exe 파일명으로 자신이 복사된다.

사용자 삽입 이미지

이 번 파이어폭스에서 발견된 제로 데이 취약점을 악용하는 자바 스크립트 악성코드는 V3 제품군에서 다음과 같이 진단한다.

JS/Belmoo

그리고 네트워크 보안 제품인 TrusGuard 제품군에서는 다음의 시그니처명으로 해당 제로 데이 취약점 탐지 가능하다.

mozilla_firefox_zeroday_exploit(HTTP)

현재 파이어폭스에서 발견된 제로 데이 취약점을 제거 하기 위해 모질라(Mozilla)에서는 보안 권고문 "Mozilla Foundation Security Advisory 2010-73 (CVE-2010-3765)"을 게시하고 해당 제로 데이 취약점을 제거 한 버전인 3.6.12 버전과 3.5.15 버전을 배포 중에 있다.

그러므로 파이어폭스 사용자는 지금 즉시 파이어폭스 3.6.12 버전 또는 파이어폭스 3.5.15 버전으로 업데이트하여 해당 취약점으로 인한 피해를 사전에 예방하기 바란다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/10/28 12:24 2010/10/28 12:24
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(31) : Comment(5)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/428

  • pig

    Tracked from pig | 2013/05/11 04:08 | DEL

    ASEC Threat Research -

  • Replica Watches | 2012/10/31 16:27 | PERMALINK | EDIT/DEL | REPLY

    Generally I do not post on blogs, but I would like to say that this post really forced me to do so! really nice post.

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret
< PREV |  1  |  ...  167  |  168  |  169  |  170  |  171  |  172  |  173  |  174  |  175  |  ...  596  |  NEXT >