'QuickTime'은 Apple사에서 제공하는 멀티미디어 프로그램이다. 이 프로그램에서 원격상의 Stack Buffer Overflow 취약점이 발견됐다. TeXML 데이터 처리 과정에서 font-table field에 전달되는 데이터의 사이즈를 체크하지 않기 때문에 발생하는 취약점으로 원격코드 실행이 가능한 상황이다.

 
해당 취약점을 최초 발견하고 리포트를 제공한 NSHC(대표 허영일) Red Alert팀은 “11월 24일 발견된 애플사의 QuickTime 취약점은 특정 브라우저에서 QuickTime에 연동하도록 유도하면서 원격코드 실행을 유도한다”며 “QuickTime3GPP.qtx 모듈 내부에서 TeXML 파일을 정상 처리할 수 있는 사이즈는 49~57바이트다. TeXML 파일은 폰트-테이블 필드에 값을 전달하며 이 값이 할당 사이즈 이상의 크기를 가지게 될 때 버퍼 오버플로우 취약점이 발생한다”고 설명했다.
 
Red Alert팀 리포트에 따르면 “해당 취약점은 일반적인 파일 파싱 취약점과 다르게 특정 모듈 내 함수 취약점이다. 단순하게 테스트 가능한 취약점은 아니므로 발견이 쉽지 않다. 하지만 공격과정이 어렵지 않으므로 공격에 쉽게 노출될 수 있다”며 “특정 사이트에 공격코드가 삽입된 URL로 자동연결 될 수 있도록 구성할 수 있기 때문이다. 이 취약점은 특정 버전의 브라우저를 이용해서 QuickTime을 실행하도록 유도하는 XML 데이터를 전달하고 XML 데이터 내에는 공격코드가 숨겨져 있는 구조다”라고 밝히고 있다.
 
대응방안에 대해 “공격을 하기 위해서는 공격코드를 전달할 수 있도록 구성된 URL을 전달해야 한다. 하지만 URL 구조상 약간의 지식만으로도 충분히 의심할 수 있는 구조이므로 안전할 수 있다”며 “하지만 해당 URL을 일반적인 URL에 숨겨서 자동으로 연결될 수 있도록 구성한다면 아무런 의심없이 피해자를 접속할 수 있도록 유도할 수 있다. 피해자 입장에서 검증되지 않은 URL의 접속을 삼가해야 하며 최신 버전의 브라우저를 사용해야 한다. 추가로 웹 미디어의 자동연결 프로그램으로 QuickTime을 사용하지 않는 방법도 유효하다”고 조언하고 있다.
 
보다 자세한 내용은 NSHC Red Alert팀 공식 페이스북 페이지에서 다운로드할 수 있다. 또한 데일리시큐 자료실에서도 다운로드가 가능하다.
- NSHC Red Alert팀: www.facebook.com/?ref=logo#!/R3d4l3rt.Notice
 
데일리시큐 길민권 기자 mkgil@dailysecu.com