Home > Àüü±â»ç

±¸±Û, ¡°´©±º°¡ 4°³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ÅëÇØ À©µµ¿Í ¾Èµå·ÎÀÌµå °ø°Ý¡±

ÀÔ·Â : 2021-01-14 20:50
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
±¸±ÛÀÇ ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀ°ú À§ÇùºÐ¼®±×·ìÀÌ ÈûÀ» ÇÕÇØ 1³â µ¿¾È ÃßÀûÇØ ¿Â °ø°Ý Ä·ÆäÀÎÀÇ ±â¼úÀûÀÎ ³»¿ëÀÌ °ø°³µÆ´Ù. Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ¹«·Á 4°³³ª ¿«¾î¼­ °ø°ÝÀ» °¨ÇàÇß´Ù´Â ºÎºÐÀÌ ´«¿¡ ¶è´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±ÛÀÇ ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀ°ú À§ÇùºÐ¼®±×·ì(TAG)ÀÌ 2020³â ÃʱâºÎÅÍ ÁøÇàµÇ¾î ¿Â ´ë±Ô¸ð ÇØÅ· Ä·ÆäÀο¡ ´ëÇØ ³¹³¹ÀÌ ¹àÇû´Ù. ÇØÄ¿µéÀº ±Ù 1³â µ¿¾È °¢Á¾ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ Çϸç À©µµ¿Í ¾Èµå·ÎÀ̵å Ç÷§ÆûÀ» ³ë·Á¿Ô´Ù°í ÇÑ´Ù. °ø°ÝÀÚ´Â ´ë´ÜÈ÷ ³ôÀº ¼öÁØÀÇ ÇØÅ· ½Ç·ÂÀ» °¡Áö°í ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÇ°í ÀÖ´Ù.

[À̹ÌÁö = utoimage]


±¸±Û ÃøÀº µÎ °³ÀÇ ÀͽºÇ÷ÎÀÕ ¼­¹ö¸¦ ¹ß°ßÇß´Ù°í ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¹àÇû´Ù. À̹ø Ä·ÆäÀο¡ ´ëÇÑ ºÐ¼® ³»¿ëÀÌ ³ª¿Â ºí·Î±× °Ô½Ã±ÛÀº ÃÑ 6°³´Ù. ¼­¹ö µÎ °³ Áß Çϳª´Â À©µµ »ç¿ëÀÚµéÀ» ³ë¸®°í ÀÖ¾úÀ¸¸ç, ´Ù¸¥ Çϳª´Â ¾Èµå·ÎÀÌµå »ç¿ëÀÚµéÀ» ³ë¸®°í ÀÖ¾ú´Ù°í ÇÑ´Ù. °ø°ÝÀÚµéÀº ¿öÅ͸µÈ¦ ±â¹ýÀ» ÁÖ·Î »ç¿ëÇß´Ù´Â ¾ð±Þµµ ÀÖ¾ú´Ù. ¿öÅ͸µÈ¦ °ø°ÝÀ̶õ, ÇÇÇØÀÚ°¡ ÀÚÁÖ ¹æ¹®ÇÏ´Â À¥»çÀÌÆ®µéÀ» °ø°ÝÇØ ¸Ö¿þ¾î¸¦ ½É¾îµÎ°í ÇÇÇØÀÚ°¡ Á¢¼ÓÇϱ⸦ ±â´Ù¸®´Â ¹æ¹ýÀÌ´Ù.

À̹ø Ä·ÆäÀÎÀÇ °æ¿ì °ø°ÝÀÚµéÀº À©µµ¿Í ¾Èµå·ÎÀ̵å ÀͽºÇ÷ÎÀÕ¿ë ¼­¹öµé¿¡¼­ ¾Ç¼º Äڵ带 ¿ø°Ý ½ÇÇàÇߴµ¥, ÀÌ ¶§ Å©·ÒÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇß´Ù°í ÇÑ´Ù. À©µµ »ç¿ëÀÚµéÀ» ³ë¸° °ø°Ý¿¡¼­´Â Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ÀͽºÇ÷ÎÀÕ µÇ¾ú°í, ¾Èµå·ÎÀ̵åÀÇ °æ¿ì¿¡´Â ÀÌ¹Ì ¾Ë·ÁÁø Ãë¾àÁ¡µéÀÌ °ø·«´çÇß´Ù. ´Ù¸¸ Á¶»ç°¡ ´Ù ³¡³­ °Ô ¾Æ´Ï¶ó ¾Èµå·ÎÀ̵å ÀͽºÇ÷ÎÀÕ¿¡¼­µµ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÉ °¡´É¼ºÀº ³²¾Æ ÀÖ´Ù.

À©µµ ½Ã½ºÅÛÀ» °ø°ÝÇÒ ¶§ È°¿ëµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù.
1) CVE-2020-6418 : ŸÀÔ ÄÁÇ»Àü(type confusion) Ãë¾àÁ¡À¸·Î, ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇØ ÁØ´Ù. ±¸±Û Å©·ÒÀÇ V8¿¡¼­ ¹ß°ßµÇ¾ú´Ù.

2) CVE-2020-0938 : ½ºÅà º¯Çü(stack-corruption) Ãë¾àÁ¡À¸·Î, À©µµ ÆùÆ® µå¶óÀ̹ö(Windows Fond Driver)¿¡¼­ ¹ß°ßµÆ´Ù. CVE-2020-1020¶ó´Â Á¦·Îµ¥ÀÌ Ãë¾àÁ¡°ú ¿¬°èµÇ¾î È°¿ëµÆÀ¸¸ç, °ø°ÝÀÚµéÀÇ ±ÇÇÑÀ» »ó½Â½ÃÄ×´Ù.

3) CVE-2020-1020 : À©µµ 8.1 ¹× ÀÌÀü ¹öÀü¿¡¼­ ¹ß°ßµÈ Ãë¾àÁ¡À¸·Î, 2´Ü°è ÆäÀ̷ε带 RWX Ä¿³Î ¸Þ¸ð¸®¿¡ ¼³Ä¡ÇÏ´Â µ¥ È°¿ëµÆ´Ù.

4) CVE-2020-1027 : À©µµÀÇ Èü ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡À¸·Î Client/Server Run-Time Subsystem(CSRSS)¿¡¼­ ¹ß°ßµÆ´Ù. »÷µå¹Ú½º Å»Ãâ °ø°ÝÀ» ÇÏ´Â µ¥ È°¿ëµÆ´Ù.
ÀÌ ¸ðµç Ãë¾àÁ¡µéÀº ÀüºÎ ÆÐÄ¡°¡ µÈ »óÅ´Ù.

°ø°ÝÀÚµéÀº ´ëºÎºÐÀÇ °æ¿ì ½ÅÁßÇÏ°Ô ¿òÁ÷ÀÎ °ÍÀ¸·Î º¸ÀÎ´Ù°í ±¸±ÛÀº ¼³¸íÇß´Ù. »ç¿ëÀÚµéÀÇ µðÁöÅÐ Áö¹®À» ²Ä²ÄÇÏ°Ô ¼öÁýÇÏ°í, ÃÖÁ¾ »ç¿ëÀÚ Àåºñ¿¡¼­ºÎÅÍ ¼ö¸¹Àº ¸Å°³º¯¼ö¸¦ Àü¼ÛÇϸ鼭, Ãß°¡ °ø°ÝÀ» ½Ç½ÃÇÒ °ÍÀÎÁö Á¶½É½º·´°Ô °áÁ¤Çß´Ù´Â °ÍÀÌ´Ù. ÇÏÁö¸¸ ÀϺΠ°ø°Ý¿¡ À־´Â ħÅõ¿Í µ¿½Ã¿¡ Ãß°¡ ÀͽºÇ÷ÎÀÕÀÌ °ð¹Ù·Î À̾îÁ³´Ù°í ÇÑ´Ù. ħÅõ¸¸ ÇßÁö ¾Æ¹«·± È°µ¿µµ ¾ø´ø °æ¿ìµµ ÀÖ¾ú´Ù°í ÇÑ´Ù. ÀÌ µÎ °¡Áö °æ¿ìÀÇ Â÷ÀÌÁ¡Àº ¾ÆÁ÷ Á¤È®È÷ ¹àÇô³»Áö ¸øÇß´Ù.

¶ÇÇÑ ¿¬¼âÀûÀÎ ÀͽºÇ÷ÎÀÕÀÌ ¸ðµâ ±¸¼ºÀ¸·Î ÁøÇàµÇ¾ú±â ¶§¹®¿¡ Ä·ÆäÀÎÀÌ È¿À²ÀûÀÏ ¼ö ÀÖ¾úÀ¸¸ç, ´ë´ÜÇÑ À¯¿¬¼ºÀ» º¸¿©ÁÖ¾ú´Ù°í ±¸±ÛÀº ¼³¸íÇß´Ù. ±×·¯¸é¼­ ¡°±â¼ú·ÂÀÌ ¸Å¿ì ¶Ù¾î³­ ÀÚµéÀÌ ¹èÈÄ¿¡ ÀÖÀ½ÀÌ ºÐ¸íÇÏ´Ù¡±°í ÁÖÀåÇß´Ù.

¡°²Ä²ÄÇÏ°Ô ¿£Áö´Ï¾î¸µ µÈ º¹ÀâÇÑ Äڵ尡 ´Ù¾çÇÏ°í »õ·Î¿î ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀ» ÅëÇØ ½ÇÇàµÇ¾ú½À´Ï´Ù. ÃÖÃÊ Ä§Åõ°¡ ³¡³­ ÈÄÀÇ ÀͽºÇ÷ÎÀÕ¿¡¼­µµ öÀúÇÏ°Ô °è»êµÈ ¿òÁ÷ÀÓÀ» º¸¿´°í, ´Ù¾çÇÑ ºÐ¼® ¹æÇØ ¹× ÃßÀû ¹æÇØ ±â¼úÀ» È°¿ëÇϱ⵵ Çß½À´Ï´Ù. ÀÌ·± ½ÄÀÇ °ø°ÝÀ» ÀÚÁÖ Çغ¸°í, ´ë´ÜÇÑ Àü¹®¼ºÀ» °®Ãá ÀÚµéÀÌ ¹èÈÄ¿¡ ÀÖÀ½ÀÌ ºÐ¸íÇÕ´Ï´Ù.¡±

ÇÏÁö¸¸ ±¸±ÛÀÇ º¸¾È Àü¹®°¡µéÀº ¹èÈÄ ¼¼·ÂÀÌ ´©±¸ÀÎÁö ¹àÈ÷Áö ¾Ê°í ÀÖ´Ù. °ø°ÝÀÚµéÀÇ ¸ñÀû°ú ÇÇÇØ ±Ô¸ð ¿ª½Ã ¾ÆÁ÷Àº °ø°³µÇÁö ¾Ê¾Ò´Ù. ¾ÆÁ÷Àº ¡°´©±º°¡ MS¿Í ±¸±ÛÁ¶Â÷ ¸ô¶ú´ø Á¦·Îµ¥À̸¦ ÃÖ¼Ò ³× °³³ª ¹ß±¼ÇØ ´ë±Ô¸ð °ø°ÝÀ» 1³â µ¿¾È ½Ç½ÃÇÏ°í ÀÖ¾ú´Ù¡±´Â °æ°í Á¤µµ¿¡¼­ ³¡³ª°í ÀÖ´Ù. »ó¼¼ÇÑ ±â¼ú Á¤º¸´Â ±¸±Û ºí·Î±×¿¡¼­ Â÷·Ê·Î º¼ ¼ö ÀÖ´Ù. ù ¹ø° °Ô½Ã±ÛÀº ¿©±â(https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html)¼­ ¿­¶÷ÀÌ °¡´ÉÇÏ´Ù.

3ÁÙ ¿ä¾à
1. ´©±º°¡ µÎ °³ÀÇ ¼­¹ö¸¦ ÅëÇØ À©µµ¿Í ¾Èµå·ÎÀÌµå ½Ã½ºÅÛµéÀ» °ø°ÝÇÏ°í ÀÖ¾úÀ½.
2. ƯÈ÷ Á¦·Îµ¥À̸¦ ³× °³³ª ÀͽºÇ÷ÎÀÕ Çß´Ù´Â Á¡ÀÌ ´«¿¡ ¶ê.
3. °ø°ÝÀÚ¿¡ ´ëÇÑ »ó¼¼ÇÑ Á¤º¸´Â ¾ÆÁ÷ ¾øÀ¸³ª, ¶Ù¾î³­ ½Ç·ÂÀ» °¡Áø °ÍÀº ºÐ¸í.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)