3¿ù 1ÀÏ ÆÐÄ¡µÈ Å©·Ò Ãë¾àÁ¡µµ °°ÀÌ ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖÀ½
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±ÛÀÌ À̹ø ÁÖ À©µµ¿ì¿¡¼ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ Á¤º¸¸¦ °ø°³Çß´Ù. ÀÌ Ãë¾àÁ¡Àº ÀÌ¹Ì ½ÇÁ¦ ÇØÅ· °ø°Ý¿¡ ³²¿ëµÇ°í ÀÖ´Â »óȲÀ¸·Î, ÃÖ±Ù ÆÐÄ¡µÈ Å©·Ò Ãë¾àÁ¡ÀÎ CVE-2019-5786°ú ÇÔ²² ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
±¸±ÛÀÇ ¼³¸í¿¡ ÀÇÇϸé ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ¡®·ÎÄà ±ÇÇÑ »ó½Â¡¯À» ÀÏÀ¸Å°´Â °ÍÀ¸·Î, win32k.sys Ä¿³Î µå¶óÀ̹ö ³»¿¡ Á¸ÀçÇÑ´Ù. ¾îºä¡ ÇÒ °æ¿ì °ø°ÝÀÚµéÀÌ º¸¾È »÷µå¹Ú½º¸¦ Å»ÃâÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¡°win32k!MNGetpItemFromIndex¿¡ ÀÖ´Â ³Î Æ÷ÀÎÅÍ ¿ªÂüÁ¶(NULL pointer dereference) Ãë¾àÁ¡ÀÇ ÇÑ À¯ÇüÀ¸·Î, Ưº°ÇÑ »óȲ¿¡¼ NtUserMNDragOver()¶ó´Â ½Ã½ºÅÛ È£ÃâÀÌ È£ÃâµÉ ¶§ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÕ´Ï´Ù.¡± ±¸±ÛÀÇ À§Çù ºÐ¼® ±×·ì¿¡ ¼Ò¼ÓµÈ Ŭ·¹¸àÆ® ¸£»çÀÎ(Clement Lecigne)ÀÇ ¼³¸íÀÌ´Ù.
ÀÌ ¹ö±×´Â À©µµ¿ì 7 ½Ã½ºÅÛ¿¡¼¸¸ ¾Ç¿ëÀÌ °¡´ÉÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ±× ÀÌÈÄ ¹öÀü¿¡´Â MS°¡ µµÀÔÇÑ ÀͽºÇ÷ÎÀÕ ¹æÁö ¹× ¿ÏÈ ÀåÄ¡µéÀÌ ÀÛµ¿Çϱ⠶§¹®¿¡ ÀÌ Á¦·Îµ¥À̸¦ ÀͽºÇ÷ÎÀÕ ÇÏ´Â °Ô ¿ëÀÌÇÏÁö ¾Ê´Ù. ½ÇÁ¦ °ø°Ý¿¡ È°¿ëµÇ°í ÀÖ´Â ÀͽºÇ÷ÎÀյ鵵 À©µµ¿ì 7 32ºñÆ® ½Ã½ºÅÛ¸¸À» °Ü³ÉÇÏ°í ÀÖ´Â °Í¸¸ÀÌ ¹ß°ßµÇ°í ÀÖ´Ù.
±¸±ÛÀº ÀÌ Ãë¾àÁ¡À» ¹ß°ßÇÏ°í Áö³ ÁÖ MS¿¡ ¾Ë·È´Ù. 1ÁÖÀϵµ ä Áö³ªÁö ¾ÊÀº ½ÃÁ¡À̱⠶§¹®¿¡ ¾ÆÁ÷±îÁö ÆÐÄ¡°¡ ¿Ï¼ºµÇÁö´Â ¾Ê¾Ò´Ù. ±×·³¿¡µµ ±¸±ÛÀº ÀÌ Á¤º¸¸¦ ´ëÁߵ鿡°Ô °ø°³Çϱâ·Î °áÁ¤Çß°í, ½ÇÁ¦·Î ±×·¸°Ô Çß´Ù. ¸£»çÀÎÀº ¡°±²ÀåÈ÷ À§ÇèÇÑ Ãë¾àÁ¡ÀÌ°í, È°¹ßÈ÷ ³²¿ëµÇ°í ÀÖ´Â ÁßÀ̸ç, ¹æ¾î°¡ ±×¸® ¾î·ÆÁö ¾Ê±â ¶§¹®¡±À̶ó°í ¼³¸íÇß´Ù.
¡°ÃÖ±Ù¿¡ ¹ß°ßµÈ À©µµ¿ì Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì °ø°ÝÀÚÀÇ ±ÇÇÑÀ» »ó½Â½Ãų ¼ö ÀÖ°í, ´Ù¸¥ ºê¶ó¿ìÀú Ãë¾àÁ¡µé°ú °áÇյǾúÀ» ¶§ º¸¾È »÷µå¹Ú½º¸¦ Å»ÃâÇÒ ¼öµµ ÀÖ°Ô ÇØÁÝ´Ï´Ù. MS´Â ÇöÀç ÇȽº¸¦ °³¹ßÇÏ´Â Áß¿¡ ÀÖ´Ù°í ÀúÈñ¿¡°Ô ¾Ë·Á¿Ô½À´Ï´Ù.¡± ¸£»çÀÎÀÇ ¼³¸íÀÌ´Ù.
±×·¯¸é¼ ¸£»çÀÎÀº ¡°¿ÏÀüÇÑ ÆÐÄ¡¶ó°í ÇÒ ¼ö´Â ¾øÁö¸¸, À©µµ¿ì 7À» À©µµ¿ì 10À¸·Î ¾÷±×·¹À̵å ÇÔÀ¸·Î½á ¹®Á¦¸¦ ¾î´À Á¤µµ ¿ÏȽÃų ¼ö ÀÖ´Ù¡±°í µ¡ºÙÀ̱⵵ Çß´Ù. ¡°±×·± ÈÄ¿¡ MS°¡ ¹ßÇ¥ÇÑ ÆÐÄ¡¸¦ Àû¿ëÇÏ¸é ´õ¿í ¾ÈÀüÇÑ ½Ã½ºÅÛÀ» °®Ãâ ¼ö ÀÖ°Ô µÉ °ÍÀÔ´Ï´Ù.¡±
ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» °ø·«ÇÏ´Â °ø°Ý¿¡¼ °°ÀÌ °ø·«´çÇÑ Å©·Ò Ãë¾àÁ¡Àº CVE-2019-5786Àε¥, ÀÌ´Â Áö³ ´Þ ±¸±ÛÀÌ ¹ß°ßÇÏ°í 3¿ù 1ÀÏ¿¡ ÆÐÄ¡ÇÑ °ÍÀÌ´Ù. ÀÌ Ãë¾àÁ¡ ¿ª½Ã ÆÐÄ¡º¸´Ù ºü¸£°Ô °ø°ÝÀÚµéÀÌ ¾Ç¿ëÇÏ°í ÀÖ´ø °ÍÀ¸·Î, ±¸±ÛÀº »ç¿ëÀڵ鿡°Ô ±ä±ÞÈ÷ ÆÐÄ¡ÇÒ °ÍÀ» ±Ç°íÇÑ ¹Ù ÀÖ´Ù.
±¸±ÛÀº ÀÚµ¿ ¾÷µ¥ÀÌÆ®¸¦ ÅëÇØ ÆÐÄ¡¸¦ Ǫ½ÃÇßÁö¸¸ ¸£»çÀÎÀº ¡°ÀÚµ¿ ¾÷µ¥ÀÌÆ® ¿É¼ÇÀ» ¼³Á¤ÇÏÁö ¾ÊÀº »ç¿ëÀڵ鵵 ¸¹´Ù¡±¸ç ¡°À̹ø ±âȸ¿¡ Å©·Ò »ç¿ëÀÚµé ÀüºÎ ÃֽŠ¹öÀü ¾÷µ¥ÀÌÆ® ¿©ºÎ¸¦ È®ÀÎÇÏ´Â °Ô ÁÁ´Ù¡±°í ±Ç°íÇß´Ù. ÃֽŠ¹öÀüÀº 72.0.3626.121ÀÌ´Ù.
3ÁÙ ¿ä¾à
1. ±¸±Û, À©µµ¿ì 7¿¡¼ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¹ß°ßÇÏ°í À̸¦ ÆÐÄ¡º¸´Ù ¸ÕÀú °ø°³ÇÔ.
2. Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ°í, ½ÇÁ¦ °ø°Ý¿¡ È°¿ëµÇ°í ÀÖ¾î À§ÇèÇϸç, À©µµ¿ì 10À¸·Î ¾÷±×·¹À̵å Çϸé À§Ç輺À» ¿ÏÈÇÒ ¼ö ÀÖÀ½.
3. ´õºÒ¾î Å©·Ò Ãë¾àÁ¡µµ °°ÀÌ ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖÀ¸´Ï ÀÌ ±âȸ¿¡ ¾÷±×·¹À̵å Çϸé ÁÁÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>