2020-07-12 12:15 (일)
제로디움, Mitigation 우회 플래시 제로데이 익스플로잇 버그바운티 10만달러 제시
상태바
제로디움, Mitigation 우회 플래시 제로데이 익스플로잇 버그바운티 10만달러 제시
  • 길민권
  • 승인 2016.01.12 00:26
이 기사를 공유합니다

iOS 9.1/9.2 Jailbreak 제출한 해커에게 버그바운티 비용 100만 달러 지불
제로데이 취약점 거래로 유명한 업체 제로디움(Zerodium)이 플래시 플레이어의 Heap Isolation Mitigation을 우회하는 제로데이 익스플로잇에 10만 달러를 제안했다. 몇 달 전, 어도비(Adobe)는 유즈애프터프리(UAF) 익스플로잇 제작을 어렵게 하기 위해 플래시 버전 18.0.0209에 Heap Isolation을 활용했다.
 
최근 제로디움은 원격 브라우저 기반 iOS 9.1/9.2 Jailbreak를 제출한 한 해커에게 버그바운티 비용 100만 달러를 지불하였다.
 
UAF 취약점은 메모리 변형 취약점의 한 종류이며 공격자에 의해 임의의 코드를 실행시키거나 원격 코드 실행에 사용될 수 있다. Isolated Heap Mitigation 매커니즘은 UAF 익스플로잇 이슈를 위해 설계되었다.
 
이 Mitigation 기술은 전용 힙을 할당하여 크리티컬한 오브젝트를 사용하도록 하고, 사용자가 접근 가능한 힙으로부터 분리되게 한다. Isolated Heap을 통해 공격자가 메모리를 변형시키는 것을 막는 것도 가능하다.
 
제로디움은 트위터를 통해 1)샌드박스 이스케이프로 플래시 플레이어의 힙 isolation을 우회하는 익스플로잇에 10만달러 포상, 2)샌드박스 이스케이프 없이 플래시 플레이어의 힙 isolation을 우회하는 경우 6만 5천달러 포상이라는 정보를 게시했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 기자> mkgil@dailysecu.com