CERTCC 에 올려진 내용입니다. 참조하시기 바랍니다.
원본출처 : http://www.certcc.or.kr/advisory/ka2002/ka2002-083.txt
======================
KA-2002-83: Microsoft VM JDBC Classes Vulnerabilities
----------------------
최초작성일 : 2002-09-23
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구(jgkang@certcc.or.kr)
-- 제목 --------------
Microsoft VM JDBC 클래스 취약점
-- 해당 시스템 --------
MS VM이 탑재된 시스템
--영향-----------------
공격자가 최악의 경우 사용자 시스템을 완전 장악을 할 수 있다.
-- 설명---------------
세가지 취약점이 MS VM(Virtual Machine)클래스에 발견되었다.
1. DLL 파일을 로드하고 실행하도록 하는 Request를 검사하는 방법에서의 취약점
비록 자바 클래스가 인증된 애플릿을 실행할 수 있도록 설계되어 있지만, 공격자는 특정한 방법으로
DLL화일을 Request할 수 있는 명령문을 조작할 수 있다.
2. 입력값에 대하여 유효한지 아닌지를 검사하는 함수에서의 취약점
인터넷 익스플로어에서 입력값에 대한 유효검사를 수행하는데 문제가 발생할 수도 있는 시나리오를
MS에서도 인정을 했다.
3. 자바 어플리케이션에 의해 사용되는 XML과 같은 Applet의 인증에 대한 취약점
자바 클래스들 중에 모든 사용자들이 사용할 수 있는 클래스와 신뢰하는 사용자들만 사용할 수 있는
클래스가 있는데 실상 모든 애플릿에 대해 같은 방법을 적용하므로 인증에 대한 문제점이 존재한다.
-- 해결책---------------
패치를 적용하라.
패치 다운로드 위치
http://Windowsupdate.microsoft.com
------- 참조 사이트 --------------------------
http://www.ciac.org/ciac/bulletins/m-126.shtml
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS02-052.asp
http://Windowsupdate.microsoft.com
--------------------------------------------
--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================
|