Skip to content

보안공지

트렌드마이크로 가상패치 업데이트
- IE 8 취약점으로 인한 원격 코드 실행 문제점(CVE-2013-1347)

등록일: 2013-05-10

 

지난 5월 4일 마이크로소프트사는 Internet Explorer 원격 코드 실행 허용 취약점(Zero-Day Vulnerability)에 대한 보안공지 2847140을 발표하였습니다. 5월9일 부터 Fix it 도구를 제공하고 있지만, 공식적인 보안패치는 5월 공식 보안패치 발표 시 포함 될 예정입니다.

이 취약점은 "원격 코드 실행 취약점"으로 삭제된 메모리 또는 적절하게 할당되지 않은 메모리의 개체를 Internet Explorer가 액세스하여 문제를 일으킬 수 있으며, 공격자가 의도적으로 조작 된 사이트로 사용자를 유도 할 경우, 원격 코드 실행을 허용할 수 있습니다.

이 취약점은 Internet Explorer 8버전에 해당되며, 자세한 내용은 Microsoft Technet Blog를 통해 확인할 수 있습니다.

이미 이 취약점을 악용하여 미국 정부 웹페이지를 변조한 악성코드가 발견되었으며, 악의적인 링크로 연결 후 악성 파일이 추가로 다운로드 됩니다.

해당 악성코드는 트렌드마이크로 진단명, JS_DLAGENT.USR로 패턴 9.894.01 (2013.5.3.)이상 버전에서 진단/제거가 가능합니다.

  • http://{생략}l.{생략}1.us:8081/web/xss.php : JS_KILLAV.AA 진단/제거
  • http://{생략}l.{생략}1.us:8081/update/index.php : JS_EXPLOIT.MEA 진단/제거

 

JS_KILLAV.AA가 실행되면, 감염된 시스템으로부터 Adobe Reader와 Flash버전등 특정 정보들을 수집해 가며, 궁극적으로 악의적인 웹사이트로 연결하여 공격코드를 포함하고 있는 사이트를 로드하여 악의적인 파일을 다운로드 합니다. (JS_EXPLOIT.MEA / BKDR_POISON.MEA - 9.892.07(2013.5.3) 이상 버전부터 진단/제거 가능)

  • PDF 버전
  • Flash 버전
  • OS 버전
  • Java 버전
  • 설치된 브라우저명
  • Microsoft Office 버전
  • 설치된 Anti-virus 종류

 

그리고, CVE-2013-1347에 대한 취약점은 트렌드마이크로의 종합 보안 제품 "Trend Micro Deep Security" 또는 "오피스스캔 IDF(취약점 방지 옵션)"을 이용하여 “Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability”를 위한 1005491번을 적용하면 이 취약점을 이용하는 공격으로부터 시스템을 보호 할 수 있습니다.

• 취약점 패치 룰 업데이트 정보 :

Microsoft Advisory

Vulnerability ID

Rule Number & Title

Deep Security Pattern Version

Deep Security Pattern Release Date

2847140

CVE-2013-1347

1005491 - Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-1347)

13-015

2013. 5. 7.

 

 

1004934 - Identified Malicious Java JAR Files - 1

13-015

2013. 5. 7.

 

• 영향을 받는 소프트웨어 버전
  Internet Explorer 8

• 오피스스캔 IDF(취약점 방지 옵션) 룰 정보 :

 


Connect with KR on