작성자 : 이현정 컨설턴트
A3AID-0605
A3 Security Consulting Security Alert
NullSoft Winamp Playlist Handling Buffer Overflow 취약점 보안 권고안
권고문 작성 일: 2006. 02. 19
취약점 발표 날: 2006. 01. 29
위험 등급: 중
벤더: Nullsoft
대상 시스템:
Nullsoft Winamp 버전 5.12 또는 하위 버전
취약점 개요:
Winamp는 mp3 재생기 프로그램 분야에서 높은 이용률을 보이고 있는 대표적인 mp3 사운드 재생 툴이다. Nullsoft Winamp에서 원격의 공격자가 악성 명령을 실행 시킬 수 있는 취약점이 다수 발견되었다.
그 중, Winamp Player 에서 노래 목록을 가져오는 Winamp Playlist 파일의 내용 중 파일이름에 대한 변수를 처리하는 과정에서 바운더리 체크를 하지 않아 스택 버퍼오버플로우가 발생 되는데, 공격자 임의로 악성 프로그램을 실행 할 수 있는 취약점이 존재한다. 이를 이용해 공격자는 악성 명령을 실행하도록 수정된 pls 파일을 사용자에게 전달하거나 특히 웹을 통해서 원격 실행이 가능하게 되므로, 그 위험도는 더욱 커진다.
이번 취약점에 대응하기 위해서는 NullSoft에서 발표한 Winamp 5.13버전으로 업데이트를 적용해야 한다.
취약점 세부분석:
(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)
위험 분석:
Winamp는 대표적인 사운드 재생 툴이며, 높은 이용률을 보이고 있는 소프트웨어 이다. 그만큼 일반 기업에 미치는 영향도 또한 크다고 할 수 있다. 악성 파일(pls) 또는 웹을 통하여 공격이 이루어 질 수 있기 때문에, 5.12 이하의 Winamp 버전에서는 원격의 공격자로부터 악성 쉘 코드나 임의의 프로그램을 실행 시킬 수 있는 큰 위험성이 존재한다.
대상 취약점을 이용한 공격은 특히 웹을 통하여 이뤄질 수 있기 때문에, 기업내의 방화벽을 무력화 시키고 나아가 취약 시스템을 파괴하고 기업 내부 정보를 외부로 유출할 수도 있다.
Winamp 5.13 버전 이상으로 업데이트를 하면 취약점으로 인한 공격의 피해를 줄일 수 있다.
금번 Winamp 취약점은 공격 코드가 먼저 공개 된 0-day 취약점으로 현재 NullSoft사의 패치가 출시된 상태이다.
대응 방안:
NullSoft는 해당 취약점이 적용되는 업데이트 버전을 2006년 1월 30일에 발표 하였다.
5.12 이하의 Winamp 버전을 사용하고 있는 사용자는 5.13 이상의 버전으로 신속히 업데이트 하길 권고한다.
l http://www.winamp.com/player/free.php
관련 사이트:
http://www.frsirt.com/english/advisories/2006/0361
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=377
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=378
Copyright (c) 1998-2006 A3 Security Consulting., LTD
Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.
