2024-03-19 20:25 (화)
POC2016 PWNFEST서 공개된 VMware 메모리 변조 취약점…패치 필수
상태바
POC2016 PWNFEST서 공개된 VMware 메모리 변조 취약점…패치 필수
  • 길민권 기자
  • 승인 2016.11.24 16:14
이 기사를 공유합니다

세계 최대 버그바운티 대회 PWNFEST서 이정훈과 360팀이 발견한 취약점

VMware 메모리 변조 취약점(CVE-2016-7461)이 공개됐다. 이용자들은 신속히 최신 보안패치를 적용해야 안전할 수 있다.

이번 취약점은 지난 11월 10일부터 11일까지 개최된 POC2016 PWNFEST 버그바운티 대회에서 이정훈(lokihardt)과 중국 360팀이 공개한 제로데이 취약점이다.

한편 이 취약점은 VMware Workstation, Fusion 제품에 영향을 끼치는 메모리 변조 취약점으로 VMware 내 drag-and-drop 함수에 메모리 변조 취약점이 존재해 이를 이용해 호스트 운영 환경 공격이 가능한 상황이다.

해당 취약점은 Workstation Player 및 Pro 12.x 이하, Fusion (Pro) 8.x 이하 제품에 영향을 줄 수 있으며, 지난 11월 13일 패치되어 업데이트된 버전인 12.5.2 및 8.5.2로 이용자들은 업그레이드 해야 한다.

한국에서 개최된 POC 2016 ‘PWNFEST’(폰페스트)는 캐나다서 열리는 캔섹웨스트(CanSecWest) 폰투오운(Pwn2Own) 보다 상금이 2배 이상 많은 총 18억원 규모로 세계 최대 규모의 대회로 치러졌다. 전세계 해킹대회와 버그바운티 대회를 통틀어 가장 많은 상금 규모를 자랑하는 대회였다.

타깃은 △Microsoft Edge △VMware Workstation △Adobe Flash △Apple Safari △Google Pixel 등이었다.

중국 360Vulcan, 360Alpha, 360Marvel팀이 Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel 해킹공격을 통한 시스템 장악까지 성공해 총 53만 달러(한화 약 6억1천850만원)를 상금으로 획득했다.

또 한국의 세계적인 해커 이정훈(Lokihardt)은 단독 출전해 Microsoft Edge, VMware Workstation을 타깃으로 해킹과 시스템 장악에 성공해 29만 달러(한화 약 3억3천840만원)의 상금을 획득했다. 또 중국 판구팀과 공동으로 애플 사파리 해킹에 성공해 비공식적으로는 5만 달러(한화 약 5천830만원)를 추가적으로 획득한 바 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★