Apple plugs 57 major security holes in iTunes


If you use Apple’s iTunes software — whether on Windows or Mac OS X — it’s important that you immediately apply the latest software update.

만약 아이튠즈를 이용중인 윈도우 혹은 Mac 유저라면 최신버전으로 패치해야 합니다.

Apple has shipped iTuens 10.2 as a highly-critical patch to cover a whopping 57 security vulnerabilities, some serious enough to allow hackers to take complete control of a vulnerable machine.

이번 아이튠즈 10.2는 취약한 기기를 조종할 수 있는 심각한 취약점을 포함한 57개의 취약점을 패치하였습니다.

According to an advisory from Apple, 50 of the 57 flaws were fixed in WebKit, the open-source rendering engine used within the multimedia software.

애플 관계자에 따르면, 57개중 50개는 멀티미디어 소프트웨어의 오픈소스 렌더링 엔진의 문제점 입니다. 

The vulnerabilities could be exploited to launch remote code execution attacks if a user simply opens an image file or surfs to a rigged Web site, Apple warned.

이 취약점은 인터넷을 서핑하거나 단순히 이미지를 여는 것만으로도, 원격 코드가 실행될 수 있습니다. 
follow Ryan Naraine on twitter

Most of the WebKit flaws were reported by Google’s security team and TippingPoint’s ZDI, a third-party broker of vulnerability information.

대부분의 웹 취약점은 구글의 보안팀과 취약점 정보를 연구하는 TippingPoint의 ZDI에서 보고하였습니다.

In addition to the WebKit issue, Apple also fixed the following:

고쳐진 웹 취약점. 

  • ImageIO: libpng is updated to version 1.4.3 to address multiple vulnerabilities, the most serious of which may lead to arbitrary code execution. For Mac OS X v10.5 systems, this is addressed in Security Update 2010-007. Further information is available via the libpng website. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A heap buffer overflow issue existed in ImageIO’s handling of JPEG images. Viewing a maliciously crafted JPEG image may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A buffer overflow existed in libTIFF’s handling of JPEG encoded TIFF images. Viewing a maliciously crafted TIFF image may result in an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A buffer overflow existed in libTIFF’s handling of CCITT Group 4 encoded TIFF images. Viewing a maliciously crafted TIFF image may result in an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • libxml: A double free issue existed in libxml’s handling of XPath expressions. Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • libxml: A memory corruption issue existed in libxml’s XPath handling. Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • LibXML의 XPath 핸들러에서 메모리 변조 취약점이 존재하였습니다. 악의적인 XML 파일을 실행할 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • Libpng가 1.4.3 으로 업데이트 되었습니다. MAC v10.5 에서의 임의 코드 실행 취약점과 주소 배수 취약점을 수정하였고, 이름은 2010-007로 명명하였습니다. 더 많은 정보는 Libpng 웹사이트에서 확인할 수 있습니다.
  • Heap 버퍼 플로우 취약점이 ImageIO의 JPEG 핸들러에 존재하였습니다. 악성 JPEG 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • LibTIFF를 이용하여 JPEG를 TIFF로 인코딩 하는 과정에서 버퍼플로우 취약점이 존재하였습니다. 악성 TIFF 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • LibTIFF를 이용하여 CCITT4를 TIFF로 인코딩 하는 과정에서 버퍼플로우 취약점이 존재하였습니다. 악성 TIFF 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)

The company called special attention to a man-in-the-middle attack scenario may lead to an unexpected application termination or arbitrary code execution while a target user is browsing the iTunes Store via iTunes.  This is caused by a vulnerability in WebKit.

아이튠즈를 통해서 스토어를 서핑하는 유저를 타겟으로 하는 예기치 못한 프로그램 종료 혹은 임의 코드 실행 이라는 취약점을 중간자 공격이라고 특별히 부르도록 하였습니다. 

iTunes 10.2 is being pushed out via the Mac OS X and Windows software update mechanisms.  It can also be downloaded directly fromApple’s iTunes web site.

아이튠즈 10.2는 Mac과 Windows 소프트웨어 업데이트를 통해서 받을 수 있고, 아이튠즈 웹사이트에서 직접 다운받으 실 수도 있습니다.

원문: http://www.zdnet.com/blog/security/apple-plugs-57-major-security-holes-in-itunes/8275?tag=mantle_skin;content

Stolen apps that root Android, steal data and open backdoors available for download from Google Market

To many of its fans, the openness and freedoms offered by the Android mobile operating systems is one of its main selling points. But that openness come with a price - it makes it easy for nefarious types to sneak malware into apps. And that’s exactly what they are doing.

자율성과 공개성은 안드로이드 OS의 판매 장점으로 꼽힌다. 하지만 공개성은 댓가를 치루게 되었다. Malware 어플리케이션이 활동하기 쉽도록 만들었고, 현실이 되었다.

Here’s an example offered up by Android Police:

Redditor lompolo has stumbled upon a perfect example of that fact; he’s noticed that a publisher has taken “… 21 popular free apps from the market, injected root exploits into them and republished.” The really scary part? “50k-200k downloads combined in 4 days.”

Redditor lompolo 는 "마켓의 21개 유명 무료어플들은 바이러스가 삽입된 채로 다시 재배포 되어지고 있다." 더욱 무서운 것은 "이것이 4일만에 다운로드수가 5만~200만개라는 것"

So take some free apps, inject them with malware and re-release them. It’s that simple. Then profit! And there’s almost no limit to what these apps can get away with:

일부 무료어플은 Malware를 삽입한 다음 재 배포 되어지고 있다. 이런 어플이 제한이 되지 않는 다는 것은 말도 안된다.

I asked our resident hacker to take a look at the code himself, and he’s verified it does indeed root the user’s device via rageagainstthecage or exploid. But that’s just the tip of the iceberg: it does more than just yank IMEI and IMSI. There’s another APK hidden inside the code, and it steals nearly everything it can: product ID, model, partner (provider?), language, country, and userID. But that’s all child’s play; the true pièce de résistance is that it has the ability to download more code. In other words, there’s no way to know what the app does after it’s installed, and the possibilities are nearly endless.

나는 소속 해커에게 코드를 살펴보도록 의뢰했고, "rageagainstthecage"을 이용하여서 이용자의 기계에 문제를 줄 수 있다고 확인하였다. 하지만 이것은 빙산위에 일각이다. IMEI, IMSI 까지 탈취할 수 있다. 또다른 APK는 코드 안쪽에 숨겨져 있고, 이 코드는 모델명, 제공자, 언어, 나라, USER ID, 제품ID 까지 거의 모든 것을 훔칠 수 있다. 하지만, 이정도도 또한 유치한 정도이다. 코드까지 다운로드시킬 수 있다. 다른말로 하자면, 한번 설치가 되면 무엇이 깔리는지 알 수 없는 것이다.

Scary stuff. And remember, unlike the Android malware I blogged about yesterday, this code has been freely available for download from the official Google app market.

어제 블로그한 안드로이드 말웨어와는 전혀 다르다는 것에 무섭다. 이번 코드는 공식적 구글마켓에서도 무료로 다운로드가 가능하다는 것이다. 

The publisher in question, Myournet, has been removed from the Android Market. Here is a list of affected apps:

개발자는 안드로이드 마켓에서 삭제하기로 하였다. Myournet 에서 제작한 문제가 있는 어플 리스트이다. 

  • Falling Down
  • Super Guitar Solo
  • Super History Eraser
  • Photo Editor
  • Super Ringtone Maker
  • Super Sex Positions
  • Hot Sexy Videos
  • Chess
  • 下坠滚球_Falldown
  • Hilton Sex Sound
  • Screaming Sexy Japanese Girls
  • Falling Ball Dodge
  • Scientific Calculator
  • Dice Roller
  • 躲避弹球
  • Advanced Currency Converter
  • App Uninstaller
  • 几何战机_PewPew
  • Funny Paint
  • Spider Man
  • 蜘蛛侠

Also affected were the following apps by a publisher calledKingmall2010:

또한 이것은 CalledKingMall2010 에서 제작한 문제어플이다.

  • Bowling Time
  • Advanced Barcode Scanner
  • Supre Bluetooth Transfer
  • Task Killer Pro
  • Music Box
  • Sexy Girls: Japanese
  • Sexy Legs
  • Advanced File Manager
  • Magic Strobe Light
  • 致命绝色美腿
  • 墨水坦克Panzer Panic
  • 裸奔先生Mr. Runner
  • 软件强力卸载
  • Advanced App to SD
  • Super Stopwatch & Timer
  • Advanced Compass Leveler
  • Best password safe
  • 掷骰子
  • 多彩绘画

And these by we20090202:

이것은 We20090202 에서 만든 것이다. 

  • Finger Race
  • Piano
  • Bubble Shoot
  • Advanced Sound Manager
  • Magic Hypnotic Spiral
  • Funny Face
  • Color Blindness Test
  • Tie a Tie
  • Quick Notes
  • Basketball Shot Now
  • Quick Delete Contacts
  • Omok Five in a Row
  • Super Sexy Ringtones
  • 大家来找茬
  • 桌上曲棍球
  • 投篮高手

There’s plenty that Android handset owners can do to stay safe (most of the advice consists of not removing safeguards put in place to protect them), but when it comes to the official download channel, Google needs to be doing more to protect Android users from malware.

아직 안전한 안드로이드 유저도 많다. (유저를 보호하는 백신을 지우지 않는 것을 추천드립니다.) 하지만, 만약 공식적인 다운로드 공간에 Malware 어플이 등장할 경우에는 구글에서는 Malware 로 부터 안드로이드 유저를 지켜야 한다.

If you’ve got apps from this publisher installed, it’s probably a good idea to uninstall them. You also might want to contact your handset maker or phone company for help and advice.

만약 리스트에 적힌 어플리케이션을 설치한 경우에는 지우는 것을 추천드립니다. 제조사나 제작자에게 문의를 하여서 도움을 받는 것이 좋습니다. 

원문: http://www.zdnet.com/blog/hardware/stolen-apps-that-root-android-steal-data-and-open-backdoors-available-for-download-from-google-market/11689?tag=content;search-results-river

Report: malicious PDF files becoming the attack vector of choice


According to a newly released report by Symantec’s MessageLabs, malicious PDF files outpace the distribution of related malicious attachments used in targeted attacks, and currently represent the attack vector of choice for malicious attackers compared to media, help files, HTMLs and executables.

시만텍 MessageLabs의 새롭게 공개된 보고서에 따르면 악의적인 PDF 파일 공격이 첨부파일과 관련된 공격을 넘어섰다. 현재는 공격의 대표적인 Media, Help 파일, HTML 문서, 실행파일 기법을 비교하여 그래프로 나타내었습니다.

The report also notes a slight increase in the distribution of executable files, a rather surprising trend given the fact that spam and email filters will definitely pick them up.

이 보고서는 실행파일 공격이 조심스럽게 증가하고 있음이 중요하고, 스팸과 E-mail 필터들이 확실하게 악성코드를 잡아낼 것이라는 것에 더욱 놀랐습니다.

PDFs now account for a larger proportion of document file types used as attack vectors. However, it should be noted that office-based file formats are still a popular and effective choice used in some targeted attacks. In 2009, approximately 52.6% of targeted attacks used PDF exploits, compared with 65.0% in 2010, an increase of 12.4%. Despite a recent downturn in the last three months, if this trend were to continue at the same rate it has for the last year, the chart in figure 2 shows that by mid-2011, 76% of targeted malware could be used for PDF-based attacks.

PDF는 현재 문서화 파일공격 비율보다 더 큰 부분을 차지합니다. Office 제품군의 파일 확장자가 여전히 일부 타겟으로 여전히 인기 있음을 시사합니다. 2009년 52.6% 정도로 PDF 공격이 차지하였으나, 2010년에는 65.%로, 12.4% 증가하였습니다. 현재 3달동안 하락세가 있었음에도 불구하고, 만약 작년과 같은 비율로 계속 증가한다면 2011 중반기에는 76% 까지 증가할 수 있습니다.

PDF-based malware campaigns are here to stay, though:

PDF-based targeted attacks are here to stay, and are predicted to worsen as malware authors continue to innovate in the delivery, construction and obfuscation of the techniques necessary for this type of malware,” said MessageLabs Intelligence Senior Analyst, Paul Wood.

Paul Wood는 "PDF 공격은 계속 지속될 것이고, Malware가 점점 분석이 어려워 짐으로써 악화될 것이라고 예측된다." 라 말했다. 

Are cybercriminals picky? Not necessarily as it’s entirely based on the campaign in question. In this case, they appear to be interested in bypassing spam and email filters by distributing a ubiquitous filetype that’s often allow to pass through them in the first place.

범죄자들은 특별한 것일까? 이번 경우에는, 범죄자들이 흔히 사용하는 파일종류는 통과시키는 것을 이용하여, E-mail 우회에 관심을 갖고 있는 것으로 나타났다. 

Email attachments combined with social engineering tactics, are among the many attack vectors, cybercriminals take advantage of. Next to email attachments, the use of web malware exploitation kits is growing, with the majority of publicly obtainable data indicating that they continuerelying on outdated and already patched vulnerabilities for successful exploitation.

E-mail 첨부파일과 사회공학적 기법과 결합하여, 많은 공격기법 중에 가장 범죄자들이 선호하는 기법중 하나이다. 이미 패치된 취약점을 나타내는 상당수의 공공연한 자료를 바탕으로 계속해서 웹 Malware 공격툴의 사용은 증가할 것이다.

See also:

참고자료:



Spamvertised 'You have received a gift from one of our members!' malware campaign


MXLab.eu is reporting on a currently spamvertised malware campaign dropping Backdoor.IRCBot which, once executed, opens a connection back to an IRC (Internet Relay Chat) server, allowing the botnet masters easy of control.

MXLab 에서는 IRC 서버를 접속하여 크래커의 명령을 받아 행동하는 IRCBOT 백도어를 다운받는 광고스팸 Malware를 보고하였습니다.

Sample messsage:

메일 내용 예문

Hello friend !You have just received a screensaver from someone who really cares about you!This is a part of the message:“Hi there! It has been a very long time since I haven’t heared anything from you! I hope you enjoy this gift from me that i’ve sent with love … I’ve just found out about this service from Sharon, a friend of mine who also told me that…”If you’d like to see the rest of the message click here to receive your 3d live Dolphins===================Thank you for using www.freeze.com ‘s services !!! Please take this opportunity to let your friends hear about us by sending them this screensaver from our personal collection !==================

안녕, 너는 널 걱정하는 한 친구로 부터 화면보호기를 받았어. 이것은 친구 메세지의 일부야. "안녕 친구, 소식을 듣지 못한지 오래됬구나, 나는 너가 나의 사랑이 담긴 선물에 만족하길 빌어. 이건 샤론이라는 한 서비스에서 찾았어, 꼭 답장해주길 바래. "만약 3D 돌고래 그림을 클릭하면 나머지 부분의 편지를 볼 수 있습니다"===== www.Freeze.com의 서비스를 이용해주셔서 감사합니다. 당신의 친구가 보낸 화면보호기를 다운받아보시기 바랍니다.

From a social engineering perspective this is a — thankfully — badly executed campaign lacking basic quality assurance elements typical for social engineering campaigns such as timing — see the Xmas photo — which could have contributed to a better infection rate.

이러한 사회공학기법은 불행하게도 (사실은 감사하게도) 특정 기념일에만 전파되어 피해율을 높이는 다른 말웨어와 달리 기본적인 요소가 많이 부족합니다. 

It seems though the the ubiquitous “You’ve received a screensaver” social engineering campaign is still favored by novice botnet masters

이러한 기법은 아주 흔한 기법이지만, 아직까지도 초보 크래커들이 여전히 선호하고 있습니다. 

원문 : http://www.zdnet.com/blog/security/spamvertised-you-have-received-a-gift-from-one-of-our-members-malware-campaign/8250?tag=content;search-results-river

ZeuS crimeware variant targets Symbian and BlackBerry users


A ZeuS
crimeware variant known as ZeuS Mitmo, has began targeting the two-factor authentication solution offered by the Polish ING bank.
제우스 바이러스의 변종으로 알려진 제우스 Mitmo가 폴란드 ING 은행의 두 인증시스템을 목표로 삼았다.

UPDATE: Devices running Windows Mobile are also targeted.
추가로, 윈도우 모바일 기기또한 타겟이다.


The variant, currently targeting Symbian and BlackBerry users works as follows. Upon successful infection, the crimeware injects a legitimately looking field into the web page. The aim is to trick end users into giving out their mTANs, which stands for mobile transaction authentication numbers. Now that the gang has obtained access to their cell phone number, including the type of the device, a SMS is sent back to the victim with a link to a mobile application targeting either Symbian or BlackBerry devices.
제우스 변종은 현재 심비안과 블랙베리 유저를 목표로 하고 있다. 성공적으로 감염된 바이러스는 웹페이지의 정상적인 필드에 삽입된다. 주된 목표는 "거래 인증번호인 mTANs"를 사용하는 유저를 속이는 일이다.


See also:

According to the security researcher Piotr Konieczny, the reason why Apple’s iPhone was excluded is due to the fact that Apple has more control over the Apple Store, compared to Symbian or RIM (Research in Motion).
보안 연구원 Plotr Konjeczny 에 따르면, 애플 아이폰은 "애플은 효율적인 관리기능을 가지고 있어" 위협대상에서 제외되었다.

These relatively sophisticated attempts on behalf of cybercriminals, wouldn’t be possible to execute if the user didn’t get infected in the first place.
이것은 유저의 감염을 막기 위한 훌륭한 대처 입니다. 

As always, users are advised to use least privilege accounts, browse the web in isolated environment, and ensure their hosts are free of outdated 3rd party software, browser plugins or OS-specific flaws.
항상 유저는 최소권한의 계정과 깨끗한 브라우저를 사용해야 한다. 또한 불법 프로그램과 브라우저 플러그인과 OS 결함을 항상 신경써야 한다. 



CERT fielded 187 'cyber incidents' in 2010


The Computer Emergency Response Team (CERT) Australia has detected some 187 "cyber incidents" since September last year, ranging from trivial threats to attacks requiring military oversight.

오스트레일리아 컴퓨터 응급 대응팀 (CERT) 은 작년 9월부터 일어난 사소한 사건까지 총 187개를 밝혀냈습니다.

 

(Red alert image by Rykerstribe, CC2.0)

The group is a linchpin in the Federal Government's cybersecurity strategy, responsible for information sharing between the state and the nation's critical infrastructure, such as power, water and transport.
CERT는 정부와 사회 기반 시설 사이에 "전력, 수도, 운송수단" 정보 공유 의 가장 중심적인 역할을 합니다. 

It issues threat advisories to government and public organisations, and liaises with overseas CERTs to coordinate international cybersecurity strategies.
이번 사건은 정부와 공공 기관의 경고이고, 국제 사이버보안에 대해 다시 생각해볼 수 있는 기회였습니다.

Federal Attorney-General Robert McClelland told the audience at the Internet Industry Association last night that CERT Australia had also identified some 50,000 stolen credentials, including online banking and credit card credentials last year.
연방 변호사 Robert McClelland 는 지난밤 인터넷 산업 연맹에서 'CERT는 작년, 50000개의 도난당한 계좌와 신용카드  정보에 대해 확인했다.' 라고 언급했습니다.


"CERT Australia produced and disseminated 47 sensitive advisories on cyber vulnerabilities affecting systems of national interest," McClelland said. "Three advisories have already been produced and disseminated this year."
"CERT는 시스템에 영향을 주는 취약점 47개에 대해 보고하고 제공하였다." 라고 말하였다.


Details on the 189 incidents including how many were referred to the Department of Defence were not immediately available. Officials from the Attorney-General's Department told ZDNet Australia that some were "serious".
자세하게는, 얼마나 국가가 책임을 져야 하는지까지 포함된 189개의 사건들은 직접적으로 공개하지는 않습니다.
변호사 협회는 공식적으로 ZDNET을 통해 "일부는 심각한 수준이다" 라고만 응답했습니다.

McClelland praised CERT Australia for its acceptance as a member into the Asia-Pacific CERT last year, from which it will help develop security awareness in the region.
McClelland 는 "오스트레일리아 CERT은 작년 아시아태평양 CERT로 부터 허가를 받고 지역의 보안에 공을 세울 것" 이라고 칭찬한 바 있습니다.



원문 : http://www.zdnet.com.au/cert-fielded-187-cyber-incidents-in-2010-339309712.htm

Google Chrome 10 beta - Faster JavaScript, GPU acceleration, and more!

Google has just released Chrome 10 beta (10.0.648.82 for all you perfectionists) and it brings with it a whole slew of new things to play with.
구글은 크롬 브라우저 10 beta (10.0.648.82) 을 발표했습니다. 보안에 장난칠 만한 것들을 모두 배제하였습니다.

First off, there’s a significant JavaScript performance boost thanks to the updated V8 engine. According to Google, this version of the V8 engine offers a 66% performance advantage over the current stable release. That alone is pretty impressive.
먼저, V8 엔진을 업데이트 함으로써 자바스크립트의 속도를 높였습니다. 구글에 따르면 이번 V8 엔진은 기존보다 66% 향상되었으며, 매우 획기적이라고 합니다.


This beta also adds GPU acceleration for video. For those running video in full-screen mode this can mean a decrease in CPU usage of as much as 80%. A good thing for those living off battery.
이번 베타버전은 GPU 비디오 가속기를 추가하였습니다. 최대화면으로 비디오를 재생할 때 CPU 사용량이 80% 정도 감소하게 됩니다. 이것은 배터리 부족에도 획기적인 부분입니다.

Another new feature is that the browser setting page now opens in a tab of its own rather than in a separate window. A small change but one that makes a lot of sense. There’s also a handy search box to allow you to find the specific setting you are looking for. Might not be needed by geeks, but dead handy for everyone else (Hey, Microsoft! Here’s a setting that would be really handy for IE users … fire up those photocopiers!).
다른 새로운 특징으로는 분리된 창을 하나로 통합할 수 있습니다. 작은 변화지만 이것은 많은 편리함을 가져다 줄것입니다. 또한 편리한 검색 박스를 추가하여 찾고있는 부분을 쉽게 찾을 수 있습니다. (MS !! 여기에 IE 사용자들에게 가장 편리한 기능이 있어! 이 기능도 따라하지 그래!)

Syncing now includes saved passwords, along with bookmarks, preferences, themes and extensions. Synced passwords can be encrypted with a separate passphrase.
북마크 기능과 암호 저장기능, 속성, 테마, 확장기능이 업데이트 되었다. 분리된 Passphrase 방식으로 암호화 되어 암호가 저장된다.

Download Google Chrome beta 10 here.
구글 크롬 베타 10 버젼은 이곳으로


 Microsoft confirms Windows BROWSER protocol zero-day

A security researcher has released proof-of-concept code for an unpatched security vulnerability affecting all versions of Windows, prompting a warning from Microsoft that remote code execution attacks are theoretically possible.
보안 연구원은 윈도우의 모든 버젼에 문제가 있는 패치되지 않은 취약점에 대해 증명(POC)한 코드를 공개하였습니다.  이론적으로 원격코드 실행 공격이 가능한 위험한 취약점 입니다.

Details on the vulnerability were released on the Full Disclosure mailing list earlier this week and Microsoft followed up with two separate blog posts discussing the ramifications of the problem and suggesting workarounds until a patch can be created and released.
자세하게 설명하자면, 이번주에 Full Disclosure Malling list 에 대해 발표하고 "문제와 권고" 2개의 부분으로 나누어 마이크로소프트 블로그를 통해 설명 및 공개하였습니다.

According to Microsoft’s Mark Wodrich, the vulnerability was identified in the BROWSER protocol  and although all versions of Windows are vulnerable, the issue is more likely to affect server systems running as the Primary Domain Controller (PDC).
마이크로소프트의 Mark Wodrich 에 따르면 취약점은 브라우저의 프로토콜임을 확인하였고, 모든 윈도우 버젼이 취약합니다. 이번 사건은 PDC가 구동하는 과정에서 서버 시스템에 문제를 이르킬 수 있습니다.


“In environments following best practices, the BROWSER protocol should be blocked at the edge firewalls thus limiting attacks to the local network,”
Wodrich said.
"브라우저의 프로토콜을 방화벽으로 막는 방법을 통해, 로컬 네트워크의 공격을 막는 것이 최선에 방법이다" 라고 Wodrich는 언급했습니다.

Wodrich provided technical confirmation of the buffer overrun vulnerability and explained that a malformed BROWSER message would cause the Master Browser to hit a portion of vulnerable code to trigger the vulnerability.
Wodrich는 버퍼 오버런 취약점의 기술문서를 제공하고, "패치되지 않은 브라우저 메세지는 취약점의 실행과 코드 취약점을 아용해 Master 브라우저가 공격받을 수 있는 원인을 제공할 수 있습니다." 라고 덧붙였습니다.


He warned that remote code execution (highest severity) may be possible in certain circumstances.
Wodrich 는 위험한 원격코드 실행 취약점은 아마도 정황상 가능할 수 있다고 경고했습니다.

“While [remote code execution] is theoretically possible, we feel it is not likely in practice,” Wodrich said, noting that a more risk attack scenario would be denial-of-service attacks.
"원격코드 실행 취약점은 이론적으로 가능하지만 아직 테스트해보지는 않았다." "최악의 시나리오는 DOS 공격으로 이어질 수 있다"고 Wodrich는 이야기 했습니다.

Microsoft has not yet issued a formal security advisory with mitigation guidance or workarounds.
MS는 아직 제 2의 해결책이나 권고사항을 공식적으로 발표할 계획이 없다고 밝혔습니다.

원문 : http://www.zdnet.com/blog/security/microsoft-confirms-windows-browser-protocol-zero-day/8219?tag=content;search-results-rivers

Bogus Android apps lead to malware

Security researchers have detected a
new trojan horse targeting Android users.
보안 연구원은 안드로이드 유저를 타겟으로 하는 새로운 트로이잔을 발견하였습니다.

Using bogus Anroid apps, HongTouTou (also known as ADRD trojan) is using Android app marketplaces and forums to spread. The campaign is localized to Chinese; namely, it attempts to trick only Chinese speaking users.
보거스 안드로이드 웹을 사용할 때 HongTouTou (ADRD Trojan) 이 안드로이드 마켓과 포럼을 통해 퍼지고 있다. 이것은 중국에서만 퍼지고 있습니다. 다시 말하면 중국어 유저에게만 공격이 일어날 수 있다는 것입니다.

Upon execution, the malware requests additional capabilities, next to sending the device’s IMEI and IMSI to a remote host.
실행구조는 말웨어가 기기의 IMEI 와 IMSI 조종 호스트를 보내는 추가적인 기능을 수행합니다.

More info:
HongTouTou is included in repackaged apps made available through a variety of alternative app markets and forums targeting Chinese-speaking users.  To date Lookout security researchers have identified fourteen separate instances of the HongTouTou Trojan repackaged in Android apps including RoboDefense (a well known game) and a variety of wallpaper apps.
HongTouTou 는 다양한 중국어 유저를 대상으로 하는 앱마켓과 포럼을 통해서 이용할수 있는 재압축 앱이다. HongTouTou의 경우 14가지 경우로 나누어 지는 것을 보안 연구원들이 확인했다.
RoboDefence(Game)과 다양한 월페이퍼 앱을 포함한 안드로이드앱으로 트로이잔이 재압축되었다.

 

See also:
보아야 할 것.

What do you think is the biggest problem from a security perspective when it comes to mobile malware? The flawed efficiency-driven Symbian OS model? New trust-chains relying on already authenticated user base, or plain simple social engineering attacks.
보안의 관점에서 모바일 Malware 의 큰 문제로 다가올 때 이에대해 어떻게 생각하는가? 심비안 OS만의 문제일까? 비밀번호 무력화일까? 아니면 간단한 사회공학적 공격일까?

원문 : http://www.zdnet.com/blog/security/bogus-android-apps-lead-to-malware/8212?tag=content;search-results-river

McAfee: Malware going mobile


New mobile malware threats increased 46 percent in the fourth quarter compared to a year ago, according to McAfee’s quarterly report on emerging threats.
McAfee 에 새로운 보고서에 따르면 "새로운 모바일 Malware"가 2009년 4분기에 비해 2010 4분기에는 46%나 올랐습니다.

In a nutshell, hackers are following popular platforms. For instance, email spam continues to decline as usage drops. Only 80 percent of email traffic was spam in the fourth quarter, the lowest mark since the first quarter of 2007. Yes, folks 80 percent of all email is spam and that’s good news.
해커는 유행하는 플랫폼으로 이동합니다. 예를들면 이메일 스팸이 계속해서 감소하고 있습니다. 4분기에는 이메일 트래픽의 80% 정도가 스팸이였습니다. 2007년 1분기에 비하면 상당히 적습니다. 이는, 모든 메일의 80%는 스팸이라는 것이고, 줄어든다는 것은 좋은 소식입니다.

Instead of focusing on email, cybercriminals are moving to mobile devices and platforms. McAfee notes “a steady growth in the number of threats to mobile devices.” Key targeted platforms include Android. SymbOS/Zitmo.A and Android/Geinimi were the two headliner malware threats for mobile. Symbian remains the most targeted for malware—largely due to market share.
이메일 문제 보다는 사이버범죄자들의 모바일 장치로의 이동을 눈여겨 봐야 합니다. McAfee는 "여전히 모바일 장치의 숫자가 늘고 있다" 라고 발표하였습니다. 중요한 것은 안드로이드를 포함한 플랫폼입니다. 심비안 바이러스 Zitmo.A 와 안드로이드 바이러스 Geinimi 는 유명한 두개의 모바일 Malware 였습니다. 심비안의 바이러스는 대부분 마켓에 의한 것이였습니다.

McAfee said:

This quarter presented some of the most interesting changes of the year. In the past three months we saw the lowest spam volumes since 2007, but at the same time we identified attacks on new devices such as smartphones using the Android operating system. Mobile malware and threats have been around for years, but we must now accept them as part of the mobile landscape, both in awareness and deployment.
2010 4분기는 몇몇 변화가 흥미로웠습니다. 과거 3달동안 우리는 2007 이래로 스팸이 줄어드는 것을 보았습니다. 하지만 동시에 안드로이드와 같은 스마트폰 사용량과 같이 새로운 공격이 증가함을 보았습니다. 우리는 몇년간 증가할 스마트폰 Malware를 당연한 것으로 받아들이는 동시에 Malware 해결에 힘쓸 것입니다.



Other key odds and ends from the McAfee report:
McAfee 보고서의 특이점.

  • Auto run malware, banking Trojans and downloaders are the most favored malware in the fourth quarter.
    Autorun Malware, 은행을 타겟으로한 트로이잔, Downloader 는 4분기에 가장 많았습니다.
  • Botnets delivered via spam appear to be dormant for now, but that could change.
    스팸을 통해 전송되는 Botnet 은 소강상태이지만, 언제든지 바뀔수 있습니다.
  • 51 percent of the top 100 daily search terms lead to malicious sites. These search engine attacks are likely to target mobile devices in 2011.
    조사 결과의 상위 100개 중 51%는 악의적인 사이트가 원인입니다. 이러한 검색엔진을 통한 공격은 2011년에 모바일 장치가 주 타겟이 될 수 있습니다.
  • Adobe’s Acrobat is the most favored software to exploit.
    Adobe의 아크로뱃은 조사결과에서 취약점이 가장 많습니다.



원문 : http://www.zdnet.com/blog/btl/mcafee-malware-going-mobile/44549?tag=must-read

+ Recent posts