번호 | 제목 | 등록일 | |
---|---|---|---|
193 | 애플 퀵타임 플레이어 보안업데이트 권고 - 2010-09-16 | ||
2010-09-16 | |||
□ 개요 o 애플社는 최근 공개된 원격코드실행 취약점과 DLL 하이재킹 취약점에 대한 보안업데이트를 포함하는 애플 퀵타임 플레이어 7.6.8을 발표[1, 2] ※ 원격코드실행 취약점은 지난 8월 31일 KrCERT/CC 홈페이지에 게시된 “애플 퀵타임 플레이어 원격코드실행 취약점 주의” 보안공지와 연계됨[3] ※ DLL 하이재킹 취약점은 지난 8월 25일 KrCERT/CC 홈페이지에 게시된 “DLL 하이재킹 취약점으로 인한 악성코드 감염 주의” 보안공지와 연계됨[4] o 국내 퀵타임 플레이어 이용자는 보안 업데이트가 포함된 최신 버전으로 업데이트할 것을 권고 □ 설명 o 최근 애플社는 아래와 같은 취약점에 대한 보안업데이트를 포함하는 퀵타임 플레이어 7.6.8을 발표함 - 퀵타임 ActiveX 콘트롤이 특정 매개변수를 처리하지 않아 발생하는 취약점으로 공격자가 악의적으로 개설한 사이트에 접속할 경우 응용프로그램이 비정상 종료되거나 임의코드실행이 가능하여 이용자 PC에 악성코드가 감염될 수 있음(CVE-2010-1818)[3] - 퀵타임 Picture Viewer에서 악의적으로 조작된 이미지 파일을 열어볼 경우 경로 검색 과정의 부적절한 처리로 인해 임의코드실행이 가능한 취약점으로 이용자의 PC에 악성코드가 감염될 수 있음(CVE-2010-1819)[4] ※ Mac OS X 시스템은 영향을 받지 않음 □ 업데이트 방법 ① 애플 퀵타임 플레이어 실행 후 “도움말 > 기존의 소프트웨어 업데이트” 클릭 ② 다음과 같은 업데이트 확인창이 뜨면 “확인” 버튼을 클릭하여 업데이트 □ 용어 정리 o 퀵타임 플레이어 : 미국 애플社에서 만든 멀티미디어 재생 프로그램 o DLL(Dynamic Link Library, 동적 연결 라이브러리): 동시에 하나 이상의 프로그램에서 사용될 수 있는 코드와 데이터를 포함한 라이브러리로, DLL을 사용하면 프로그램을 분리된 구성 요소로 모듈화하여 작성할 수 있음 o 퀵타임 ActiveX 컨트롤 : 퀵타임 플레이어에 내장된 기능으로 일반 응용프로그램과 웹 사이트를 연결하여 인터액티브한 웹 서비스를 제공하는 기술 o 퀵타임 Picture Viewer : 미국 애플社에서 만든 이미지 보기 프로그램으로 퀵타임 플레이어 설치시 자동 설치됨 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 □ 참고사이트 [1] http://www.apple.com/quicktime/download/ [2] http://support.apple.com/kb/HT4339 [3] http://www.krcert.or.kr/secureNoticeView.do?num=451&seq=-1 [4] http://www.krcert.or.kr/secureNoticeView.do?num=448&seq=-1 |