시스템 보안에 관련된 사항이라 유머는 아니고 시사도 아닌... 딱히 해당 게시판도 없으니 그냥 여기 올리겠소. *.jpg 를 보는 사람들은 주의하시오. "JPEG 관련 취약점 심각, 반드시 패치해야" 정보통신부는 15일 마이크로소프트사가 최고 수준인 긴급 등급으로 공지한 GDI+(Graphics Device Interface) 취약점에 대해 예보를 발령했다. 정통부는 피해 방지를 위해서는 반드시 패치(MS04-028)를 실해야 한다고 당부했다. 해당 시스템은 윈도XP, 윈도 서버 2003, 인터넷 익스플로러 6 SP1, 오피스XP SP3, 오피스2003 등이다. GDI는 마이크로소프트사의 윈도 등의 프로그램에서 그래픽을 생성하거나 해석하는 인터페이스를 말한다. 이번에 발표된 취약점은 GDI+의 JPEG파일 처리 과정 중 버퍼오버런으로 인해 발생하는 것으로 공격자는 취약점을 이용해 피해시스템의 관리자권한을 획득함으로써 프로그램 실행 및 파일삭제, 변조 등을 할 수 있다. 정통부는 JEPG파일의 경우 다른 이미지파일에 비해 상대적으로 크기가 작아 인터넷상에서 널리 이용되고 있을 뿐만 아니라 인터넷 익스플로러6 등 취약점 해당 시스템 역시 매우 광범위하게 사용되고 있기 때문에 큰 피해가 발생할 수 있다고 밝혔다. 취약점에 대한 자세한 내용은 인터넷침해사고대응지원센터 홈페이지(www.krcert.or.kr)에서 확인할 수 있다. ㅇ 해당시스템 Windows XP, Windows XP (SP1) Windows Server 2003 Internet Explorer 6 SP1 Office XP SP3 (Word 2002, Excel 2002, Outlook 2002, PowerPoint 2002, FrontPage 2002, Publisher 2002) Office 2003 (Word 2003, Excel 2003, Outlook 2003, PowerPoint 2003, FrontPage 2003, Publisher 2003, InfoPath 2003, OneNote 2003) Digital Image Pro 7.0, Pro 9, Suite 9 Greetings 2002 Picture It! 2002 (all versions), 7.0 (all versions), 9 (all versions, including Picture It! Library) Producer for PowerPoint (all versions) Project 2002 SP1 (all versions), 2003 (all versions) Visio 2002 SP2 (all versions), 2003 (all versions) Visual Studio .NET 2002 (Visual Basic .NET Standard 2002, Visual C# .NET Standard 2002, and Visual C++ .NET Standard 2002) Visual Studio .NET 2003 (Visual Basic .NET Standard 2003, Visual C# .NET Standard 2003, Visual C++ .NET Standard 2003, and Visual J# .NET Standard 2003) .NET Framework 1.0 SP2, 1.0 SDK SP2, 1.1 Platform SDK Redistributable: GDI+ ㅇ 영향 공격자는 해당 취약점을 이용하여 사용자의 권한을 획득할 수 있다. - 공격성공시 사용자가 가진 권한으로 프로그램 설치 및 데이터 열람, 변경, 삭제 등의 작업 가능 설명: 공격자는 Windows XP, Office 2003 등 JPEG 이미지를 처리하는 시스템에 존재하는 버퍼오버런 취약점을 이용하여 피해 시스템의 관리자 권한을 획득하여 프로그램 설치, 실행 및 파일 추가, 삭제, 변경 등을 할 수 있음 해결: 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용 해당 링크:
JPEG 처리(GDI+)용 보안 업데이트