▒▒▒▒▒ 이소컴 UTM서비스 페이지입니다. ▒▒▒▒▒

관리자 (posted by 2010-09-17)

3967

애플 퀵타임 플레이어 보안업데이트 권고

□ 개요
   o 애플社는 최근 공개된 원격코드실행 취약점과 DLL 하이재킹 취약점에 대한 보안업데이트를
      포함하는 애플 퀵타임 플레이어 7.6.8을 발표[1, 2]
     ※ 원격코드실행 취약점은 지난 8월 31일 KrCERT/CC 홈페이지에 게시된 “애플 퀵타임
         플레이어 원격코드실행 취약점 주의” 보안공지와 연계됨[3]
     ※ DLL 하이재킹 취약점은 지난 8월 25일 KrCERT/CC 홈페이지에 게시된 “DLL 하이재킹
         취약점으로 인한 악성코드 감염 주의” 보안공지와 연계됨[4]
   o 국내 퀵타임 플레이어 이용자는 보안 업데이트가 포함된 최신 버전으로 업데이트할 것을 권고

□ 설명
   o 최근 애플社는 아래와 같은 취약점에 대한 보안업데이트를 포함하는 퀵타임 플레이어
      7.6.8을 발표함
     - 퀵타임 ActiveX 콘트롤이 특정 매개변수를 처리하지 않아 발생하는 취약점으로 공격자가
        악의적으로 개설한 사이트에 접속할 경우 응용프로그램이 비정상 종료되거나 임의코드실행이
        가능하여 이용자 PC에 악성코드가 감염될 수 있음(CVE-2010-1818)[3]
     - 퀵타임 Picture Viewer에서 악의적으로 조작된 이미지 파일을 열어볼 경우 경로 검색 과정의
        부적절한 처리로 인해 임의코드실행이 가능한 취약점으로 이용자의 PC에 악성코드가 감염될 수
        있음(CVE-2010-1819)[4]
      ※ Mac OS X 시스템은 영향을 받지 않음

□ 업데이트 방법
     ① 애플 퀵타임 플레이어 실행 후 “도움말 > 기존의 소프트웨어 업데이트” 클릭


     ② 다음과 같은 업데이트 확인창이 뜨면 “확인” 버튼을 클릭하여 업데이트



□ 용어 정리
   o 퀵타임 플레이어 : 미국 애플社에서 만든 멀티미디어 재생 프로그램
   o DLL(Dynamic Link Library, 동적 연결 라이브러리): 동시에 하나 이상의 프로그램에서 사용될
     수 있는 코드와 데이터를 포함한 라이브러리로, DLL을 사용하면 프로그램을 분리된 구성 요소로
     모듈화하여 작성할 수 있음
   o 퀵타임 ActiveX 컨트롤 : 퀵타임 플레이어에 내장된 기능으로 일반 응용프로그램과 웹 사이트를
      연결하여 인터액티브한 웹 서비스를 제공하는 기술
   o 퀵타임 Picture Viewer : 미국 애플社에서 만든 이미지 보기 프로그램으로 퀵타임 플레이어
      설치시 자동 설치됨

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
   [1] http://www.apple.com/quicktime/download/
   [2] http://support.apple.com/kb/HT4339
   [3] http://www.krcert.or.kr/secureNoticeView.do?num=451&seq=-1
   [4] http://www.krcert.or.kr/secureNoticeView.do?num=448&seq=-1