TEAMCR@K

▷ 작성자 : 니키 (ngnicky@a3sc.co.kr) ▷ 편집자 : 니키 (ngnicky@a3sc.co.kr)

다운로드 : http://www.apple.com/safari/download/

Apple사에서 이번에 야심차게(?) 준비한 Safari Beta 웹 브라우저를 공개하였다.
예전 광고 동영상을 보았을 때 상당한 기대를 하였는데 막상 접하고 나니 많은 문제들을 발견할 수 있었다.

우선 자주 방문을 하는 "Top Sites" 기능과 이전에 방문하였던 사이트를 편리하게 접하기 위한 "History" 기능이 비주얼적으로 잘 만들어졌다. 일반 사용자들이 (!!!) 할정도의 화면은 아니지만 요즘 사용자들의 취향에 맞는듯 하다.

하지만, 기본설정(Default)으로만 평가를 하였을 경우 공공장소에서 이 브라우저를 종료시키고 다른 사용자들이 다시 사용할 경우 이전 사용자들이 방문하였던 History 사이트가 그대로 노출되고 있고, 쿠키정보도 노출되고 있음을 알 수 있다.

다른 웹 브라우저도 URL 정보가 남아있다고 하지만, 이렇게 화면으로 바로 판단할 수 있다는 것은 더욱더 문제가 되지 않을까 생각한다.

아직은 Beta 버전의 한계인지 속도 측면에서도 다른 브라우저에 비해서 떨어지는 감이 있고, 국내 카페 게시물을 열람할 경우 대부분 내용들을 가져오지 못한다는 문제(스크립트 문제 등)도 있고, 웹 브라우저 정지상태와 종료되는 문제도 발생한다.

좀더 관찰해야할 부분도 있겠지만,  첫 인상은 ....그닥??--)..

[설치과정]
- 원하시는분은 펼치세요

더보기

"Top Sites" 기능으로써 자주 방문하는 사이트가 등록되는 화면이다. 이 기능에서 속도도 상당히 느리고 자주 멈추는 현상이 발생한다.

"History" 기능으로써 이전 사용자들이 방문했던 사이트도 모두 노출이 된다. 세션이 유지되는 상태는 아니기 때문에 큰 문제는 없을거라 판단되지만, 그래두 혹시 페이지에 개인정보까지 포함될지--)....혹시(?)...

다른 웹 브라우저에서도 RRS 서비스 기능을 추가하고 있으며, 이 프로그램 역시 RSS 기능을 쉽게 접할 수 있었다.

기본으로 설정되어 있는 Security (보안설정) 부분인데.쿠키정보도 상세히 보이네요...

너무 기술적인 부분만 다루다 보면 머리가 아프죠?-_-).... 그래서 함 포스팅을 해봤습니다.

분명 이런 부분들이 문제가 되고 있으니....

▷ 작성자 : InPure(aramlee@a3sc.co.kr)
▷ 편집자 : 니키 (ngnicky@a3sc.co.kr)

Mozilla Firefox Cross Domain Text(Image) Theft

취약점 보안 권고안

1. 요 약

[Text Theft]
<script src=”      “> 태그가 포함된 스크립트를 실행할 때 나타나는 자바스크립트 에러메시지는 window.onerror 핸들러를 사용하며, 원격 도메인의 텍스트를 에러메시지의 한 부분으로 포함할 수 있다. 이것을 이용하여 다른 도메인의 텍스트를 훔치는 것이 가능하다.

[Image Theft]
HTTP 리다이렉터를 이용하여 다른 도메인에 있는 임의의 이미지에 접근할 때, 브라우저에 로컬에서 리다이렉트하는 것처럼 속여 접근이 가능하다.


2. 대상시스템

Mozilla Firefox 3.x before 3.05 Mozilla Firefox 2.x before 2.0.0.19 Thunderbird 2.x before 2.0.0.19 SeaMonkey 1.x before 1.1.14

3. 심각도 및 취약점 확인

취약점 영향	Mozilla Firefox Cross Domain Text Theft
Cross Domain Text(Image) Theft	중

Ⅱ. 취약점 세부 분석

1. 취약점 내용
데모로 아래 URL을 이용하였다.
https://cevans-app.appspot.com/static/ff3scriptredirbug.html

[Text Theft]
데모 URL에서 훔쳐오고 싶은, 즉 Target Text파일 URL을 다음과 같이 <script src=””>태그 안에 삽입한다.

<script src="../redir?url=http://vsftpd.beasts.org/steal_me/hex.txt">

다음은 Target Text이다.

[그림 1] Target Text

[그림 2]와 같이 데모 URL에 접속하면, 자바스트립트 에러메시지 창이 뜨는 데, 그 에러메시지에는 Target Text([그림 2]의 붉은 박스부분)가 포함되어 있다.

[그림 2] Text Theft

[Image Theft]

원격 도메인의, 가져오고 싶은 그림(Target) URL은 다음과 같다.

https://cevans-app.appspot.com/redir?url=http://vsftpd.beasts.org/steal_me/stocks.png

다음은 Target Image이다.

[그림 3] Target Image


데모 URL에 접속하면 다음과 같이 Target Image가 보이고, Target Image의 첫번째 픽셀 정보를 볼 수 있다.

[그림 4] Cross Domain Image Theft


2. 위험 분석
[Text Theft]
자바스크립트로 데이터 로드를 시도함으로써 구문 에러메시지를 일으키고, DOM API의 window.onerror 핸들러로 파일의 일부를 드러냄으로써, 다른 도메인의 제한된 정보에 접근을 허용하며, 이는 기밀 정보나 개인 정보를 훔치는 데 악용될 수도 있다.

[Image Theft]
다른 도메인에 있는 이미지를 공격자가 canvas로 이미지를 표현하거나, 자바스크립트 API인 getImageData()를 사용할 수 있다. 이것은 다른 도메인의 제한된 정보에 접근을 허용하는 것을 의미하며, 이는 기밀 정보나 개인 정보를 유출하는 데 악용될 수도 있다.

.14

Ⅲ. 대응 방안

1. 보안 대책
[Text Theft]
현재 패치된 FireFox 3.0.5, 3.0.6 버전이 배포되고 있으며, 최신 버전인 3.0.6 버전 다운로드 URL은 다음과 같다.

http://www.mozilla.or.kr/ko/products/download.html?product=firefox-3.0.6&os=win&lang=ko

다음은 패치된 버전으로 취약점 분석에 이용한 데모 URL에 접속한 화면이다.
 

[그림 5] 패치된 화면


하지만, 이 패치된 경우는 다른 방법의 302 Redirect를 이용하여 우회가 가능한 미봉책일 뿐이다.

패치를 하지 않았을 경우나 보다 확실한 대책은, Java Plugin을 실행하지 않도록 설정을 변경하는 것이지만, 현실적으로는 불가능에 가까우므로 White List를 이용하여 신뢰하는 사이트만 제한적으로 Java Plugin을 허용한다.


[Image Theft]

현재 패치된 FireFox 2.0.0.18 이상, FireFox 3 버전이 배포되고 있으며, 최신 버전인 3.0.6 버전 다운로드 URL은 다음과 같다.

http://www.mozilla.or.kr/ko/products/download.html?product=firefox-3.0.6&os=win&lang=ko

다음은 패치된 버전으로 취약점 분석에 이용한 데모 URL에 접속한 화면이다.

[그림 6] 패치된 화면

패치는 원격 도메인의 정보를 빼내는 데 사용되는 JavaScript API인 getImageData나 toDataUrl가 사용이 되는지 확인하는 방법으로 이루어졌다.


2.  관련 사이트
본 취약점에 대한 추가적인 정보를 확인할 수 있는 관련 사이트는 다음과 같다.

[Text Theft]
CVE-2008-5507
CESA-2008-011 http://scary.beasts.org/security/CESA-2008-011.html
MFSA 2008-65
http://www.securityfocus.com/archive/1/499353/30/360/threaded

[Image Theft]
CVE-2008-5012
CESA-2008-009 http://scary.beasts.org/security/CESA-2008-009.html
MFSA 2008-48 http://www.mozilla.org/security/announce/2008/mfsa2008-48.html
http://scarybeastsecurity.blogspot.com/2008/11/firefox-cross-domain-image-theft-and.html
http://www.securityfocus.com/archive/1/498468


Copyright(c) 1998-2009 A3 Security ,LTD

Disclaimer
※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

▷ 작성자 : 니키 (ngnicky@a3sc.co.kr)
▷ 편집자 : 니키 (ngnicky@a3sc.co.kr)


개인정보 및 문서보안에 대해 이슈가 되고 있는 만큼, 전자우편 암호화 및 문서암호화에 널리 사용되고 있는 PGP에 대해서 상세히 살펴보도록 하겠습니다.

PGP(Pretty Good Privacy) Enterprise 9.x 가이드

1. PGP(Pretty Good Privacy) 란?
인터넷의 전자우편을 암호화하거나 복호화시켜 제3자가 알 수 없도록 하는 보안 프로그램이다. PGP(Pretty Good Privacy)는 1991년 필 짐머맨(Phil Zimmermann)이 개발하였고, PEM(Privacy enhanced Mail)에 비해 보안 측면에서는 조금 취약한 편이지만 전자우편 보안에 있어서 사실상의 표준이 되었다.

전자우편은 인터넷 상에서 마치 우편엽서와도 같아 주고받는 이들의 주소는 물론 내용까지 해킹당할 가능성이 많다. 이러한 단점을 보완하여 전자우편을 마치 편지봉투처럼 만든 것이 PGP이다. 일반 편지봉투는 뜯어서 내용을 보거나 바꿀 수 있으나, 이 프로그램은 전자우편의 내용을 암호 알고리즘을 이용하여 암호화시키므로 암호를 푸는 특정 키(key)를 가지고 있어야만 내용을 볼 수가 있다. (네이버 백과사전 참조)

A사용자가 B사용자에게 전자우편을 보낼 때 A는 B의 공개키로 암호화 하고, B는 자신의 공개키로 암호화된 메시지를 비밀키로 복호화 한다. 전자서명은 A의 개인키로 암호화 하고, B는 A의 공개키로 복호화 한다. (SIS 가이드 라인 참고)
- 기밀성 : 이메일 수신자만이 내용을 볼 수 있도록 하는 것
- 전자서명 : 송신자라고 주장하는 사용자와 이메일을 실제로 보낸 송신자가 동일인가를 확인해주는 것

전자우편의 기밀성과 메시지인증•사용자인증•송신부인방지 등을 지원하고 있다. 곧, 해당자가 아닌 사용자들은 내용을 볼 수 없게 해주며, 전송 도중에 내용이 불법적으로 변경되었는가를 확인해 주고, 전자우편을 실제로 보낸 사람이 누구인가를 확실히 알 수 있게 하며, 송신자가 전자우편을 받고서도 받지 않았다고 주장할 수 없게 해준다.

1991년 처음 개발된 뒤 매사추세츠공과대학(MIT)에서 공개버전이, 보안회사인 비아크리프트(ViaCrypt)사에서 상업버전이 각각 출시되었다. 공개버전이나 상업버전은 모두 미국과 캐나다에서만 사용할 수 있으며, 오직 유닉스(UNIX) 버전만이 두 나라 이외의 지역에서도 사용할 수 있도록 하고 있다. (SIS 가이드 라인 참고)

오늘 소개해줄 PGP Enterprise 9.X 버전은 30일동안 사용할 수 있는 최상위 버전 프로그램이다.

2. 설치 및 설정 안내
최신 버전인 PGP Enterprise 9.X 는 Client 에 한해서 라이센스를 제공하고 30일동안 서비스를 사용할 수 있다.
http://www.pgp.com/downloads/desktoptrial/desktoptrial2.html

다음은 라이센스를 획득하기 위해서 동의서를 확인하고 승낙하는 화면이다.

[그림 1] 동의서 확인

다음은 라이센스를 획득하기 위해서 개인정보를 입력하는 화면이다.

[그림 2] 개인정보 입력

다음은 라이센스 발급 페이지에 접근하기 위한 링크주소가 입력한 메일주소로 도착한 화면이다.

 
[그림 3] 라이센스 발급 페이지 링크 주소

다음은 해당 프로그램의 라이센스가 발급되며, ‘Register’ 버튼을 클릭할 경우 해당 라이센스 등록에 필요한 정보를 다시 입력하게 된다.

 [그림 4] 라이센스 발급

다음은 라이센스 정보까지 입력하고 정상적으로 해당 프로그램을 다운로드 받는 화면이다.

[그림 5] 프로그램 다운로드

다음은 다운로드 받은 프로그램을 설치하는 화면이다.(다시 시작 필요)

[그림 6] 프로그램 설치

다음은 라이센스 발급시 입력한 정보와 라이센스 번호를 입력하는 화면이다.

[그림 7] 프로그램 설치 (2)

다음은 개인키(Private Key)를 생성하는 과정이다. 추후에 생성하는 것도 가능하지만 설치과정에서 생성하면 간편하다.

[그림 8] 개인키 생성

개인키가 생성되면서 프로그램이 정상적으로 설치된 화면이다.

[그림 9] 프로그램 설치 완료

설치한 뒤에 아래와 같이 다른 사용자에게 공개키(Public Key)를 첨부하여 보낼시 SMTP 프로톨로 문제로 에러가 발생한다. Outlook Express 를 통한 Gmail 서비스를 이용함에 있어 보안 연결(SSL)이 PGP 의 암호통신과 충돌이 생김으로써 발생한 것이다.

아래 페이지들을 참고하여 에러발생 문제를 해결 할 수 있었다.

[원본 페이지]
https://pgp.custhelp.com/cgi-bin/pgp.cfg/php/enduser/std_adp.php?p_faqid=91&p_created=1140801150&p_sid=WYnIC3pi&p_lva=&p_sp=cF9zcmNoPSZwX3NvcnRfYnk9JnBfZ3JpZHNvcnQ9JnBfcm93X2NudD0zNzcmcF9wcm9kcz0mcF9jYXRzPSZwX3B2PSZwX2N2PSZwX3NlYXJjaF90eXBlPWFuc3dlcnMuc2VhcmNoX25sJnBfcGFnZT0x&p_li=&p_topview=1

[번역 페이지]
http://kin.naver.com/knowhow/entry.php?d1id=8&dir_id=8&eid=7vg9+qrdTRL2A9IPtPDRuYlT4hDSAVlg&qb=cGdwvLPEoQ==&pid=figfPdoi5UssscwTeTwsss--300672&sid=SZTSeVWqlEkAAF72RSg

다음은 다른 사용자에게 공개키를 첨부하여 메일을 보내는 과정이다.

[그림 10] 공개키 배포

다음은 SMTP 프로토콜에 의한 에러가 발생한 화면이다.

[그림 11] SMTP 에러 발생

참고 페이지를 이용하여 아래와 같이 변경을 하였고 정상적으로 메일 서비스를 이용할 수 있었다. 도구->계정->사용자의 속성->고급 정보에서 보안연결(SSL) 필요 체크를 해체한다.

[그림 12] 보안 연결(SSL) 해체

다음은 도구->계정->사용자의 속성-> 서버 정보에서 ‘보내는 메일 서버’ 인증 필요에 체크를 한다.

[그림 13] 보안 연결(SSL) 해체

PGP Desktop 옵션(Options) -> Messaging에서 아래 화면과 같이 설정한다.

[그림 14] PGP 옵션 설정

모든 설정이 완료된 뒤에 정상적으로 메일이 보내지는 것을 확인할 수 있다.

[그림 15] 설정 완료

3. 문서 암호화
PGP Desktop 설치 및 설정이 완료되었다. PGP는 전자우편 서비스, 간단한 문장부터 문서(Doc, ppt 등)를 암호화 및 복호화가 가능하다.

다음은 ‘a3 시큐리티 테스트입니다’ 문자를 복사한뒤 ‘Encrypt’를 선택하여 암호화를 시키는 과정이다.

[그림 16] 문자 암호화

다음은 다른 사용자(테스트상 동일한 사용자)가 메일을 확인하여 ‘Decrypt & Verify’를 선택하여 복호화가 가능하다.

[그림 17] 문자 복호화

다음은 정상적으로 복호화가 된 화면이다.

[그림 18] 문자 복호화 완료

다음은 평문으로 저장되어 있는 문서 파일(DOC) 을 선택하여 개인키(Private Key) 로 해당 문서를 암호화 하는 과정이다.

[그림 19] 문서 파일 암호화

해당 키를 가지고 있지 않는 사람은 암호 문서를 열람할 경우 아래와 같이 깨진문자로 나타난다.

[그림 20] 암호화된 문서 열람

복호화 할 경우에는 문자 복호화와 동일하게 ‘Decrypt & Verify’를 선택하면 된다.

[그림 21] 암호화된 문서 복호화


4.연구 과제
정보 유출을 통제하고 있는 문서보안솔루션(DRM) 및 이동저장매체 통제 솔루션을 많이 사용하고 있으며, 각 제품별로 취약점들이 나타나고 있습니다. PGP 에대한 암호키 인증 우회를 통한 전자우편암호 우회기법도 꾸준한 연구 과제가 될거 같습니다.

II. Reference & Site
 ▷ http://www.pgp.com
 ▷ SIS 가이드 라인
 ▷ 정보 보안 개론과 실습 : 인터넷 해킹과 보안
    ▷ 슈퍼 유저 : www.superuser.co.kr
 ▷ https://pgp.custhelp.com/cgi-bin/pgp.cfg/php/enduser/std_adp.php?p_faqid=91&p_created=1140801150&p_sid=WYnIC3pi&p_lva=&p_sp=cF9zcmNoPSZwX3NvcnRfYnk9JnBfZ3JpZHNvcnQ9JnBfcm93X2NudD0zNzcmcF9wcm9kcz0mcF9jYXRzPSZwX3B2PSZwX2N2PSZwX3NlYXJjaF90eXBlPWFuc3dlcnMuc2VhcmNoX25sJnBfcGFnZT0x&p_li=&p_topview=1
 ▷ http://kin.naver.com/knowhow/entry.php?d1id=8&dir_id=8&eid=7vg9+qrdTRL2A9IPtPDRuYlT4hDSAVlg&qb=cGdwvLPEoQ==&pid=figfPdoi5UssscwTeTwsss--300672&sid=SZTSeVWqlEkAAF72RSg

Copyright(c) 1998-2009 A3 Security ,LTD

Disclaimer
※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

 

▷ 작성자 : indra (indra@a3security.com)
▷ 편집자 : 니키 (ngnicky@a3sc.co.kr)

A3시큐리티 TeamCR@K의 멤버 indra가 발견한 취약점이며 벤더사의 패치가 완료되었고, 해당 서비스(Zeroboard 4) 를 사용하고 있는 사용자들은 신속한 패치를 하시기 바랍니다.

Zeroboard 4 XSS/CSRF 취약점 보안 권고안

                                                               By indra@a3security.com

I. 취약점 개요

취약점	Zeroboard 4 XSS/CSRF 취약점
A3SC Advisory ID	A3AID09-03	위험 등급	중
최초 발표일	2009.02.13	문서 작성일	2008.12.12
벤더	NZEO	현재상태(패치여부)	패치

1. 요 약
Zeroboard 4 솔루션에서 XSS/CSRF 취약점이 발견되었다. 현재 솔루션의 업데이트 및 배포를 맡고 있는 NZEO(http://www.nzeo.com) 에서는 Zeroboard 4 솔루션에 대한 버그패치는 현재 이루어지지 않고 있으며, XE 버전에 주력하는 양상을 보이고 있다.
이번 발견된 XSS/CSRF 취약점은 사용자 입력 값에 대한 검증미흡을 통해 발전 되었으며, 이를 이용해 악의적인 외부 사용자는 관리자 권한을 획득하고 의도하지 않은 서버의 명령을 실행 할 수 있는 권한까지도 가능 한 취약점이다.


2. 대상 시스템
- 별도의 패치가 적용되지 않은 모든 Zeroboard 4 패키지

3. 심각도 및 취약점 영향

취약점 영향	위험도
관리자 권한 획득	중

 

II. 취약점 세부 분석

1. 취약점 내용
본 취약점은 write_ok.php 파일의 처리 프로세스 중 글을 수정하는 단계에서 사용자의 입력 값에 대해 검증절차가 마련되어 있지 않아 사용자 입력 값에 악의적인 내용의 스크립트를 작성하여 웹 페이지 사용자를 공격 할 수 있다.

다음 그림은 제로보드 소스코드 중 write_ok.php 파일의 일부분이다. 

[그림 1] write_ok.php 파일 내용

위 그림에 의하면 289번 라인 아래로는 “수정글”에 대한 처리 루틴인 것을 알 수 있으며, 변수의 조작만으로 SQL의 file_name1, file_name2 필드에 원하는 문자열을 값으로 처리하도록 변조 할 수 있는 가능성이 있다.

다음 그림은 제로보드 소스코드들 중 include/list_check.php 파일과 view.php 파일의 내용 일부를 캡쳐 한 화면이다.

[그림 2] include/list_check.php 와 view.php 파일의 일부 내용

위 그림에서 좌측 상단에 있는 파일이 include/list_check.php 파일이며 우측 상단과 하단의 내용이 view.php 파일의 내용이다. 먼저 include/list_check.php 파일은 view.php 파일에서 함수를 참조할 때에 함수의 구현부가 있는 파일이며, 우측 상단의 list_check() 함수가 실행될 때 참조 된다. 
s_file_name1, s_file_name2 필드에 있는 값 그대로를 참조하며 이러한 값은 결국 아래의 view.php 파일의 내용인 “첨부파일 링크 기능”에 사용된다.

다음 그림은 해당 취약점을 이용해 CSRF 공격을 시도한 화면이다.

[그림 3] CSRF 공격시도를 한 화면

위 그림에서 표면적으로 볼 때 파일 다운로드 부분에는 아무런 문제가 발생하지 않은 것 처럼 보이나, 실제 HTML 소스코드를 확인 할 경우 특정 태그를 사용하여 다른 페이지와의 연결을 시도하는 코드가 발견된다. 이는 제로보드 내 관리자 메뉴를 사용하여 특정 이름을 가진 사용자의 권한상승을 시도하는 코드로서 관리자 권한을 가진 사용자가 해당 게시물을 읽었을 경우 특정 사용자가 관리자 권한으로 변경되는 상황이 일어 날 수 있다.

다음 그림은 CSRF 공격시도가 성공하여 일반 사용자가 관리 권한을 얻어낸 후 관리자 메뉴에 접속 한 화면이다.

 

[그림 4] 취약점에 의해 일반 사용자가 관리 권한을 얻은 상황

2. 위험 분석
해당 취약점은 현재 패치 되지 않은 상태로 모든 Zeroboard 4 버전을 사용하고 있는 웹 페이지들이 취약하며, 또한 관리자 메뉴에는 서버의 명령을 실행 할 수 있게 하는 기능이 존재하여 이를 이용한 서버 침입 수준의 연계공격이 가능하므로 이를 이용한 공격 시도 및 피해가 예상된다.

III. 대응 방안

1. 보안 대책

가. 공식 패치
현재 Zeroboard 공식 패포처 인 NZEO에서 이에 대한 패치를 이미 내 놓았으며, 해당 패치는 다음의 URL에서 Download 받을 수 있다.
http://www.zeroboard.com/17757124#10

나. 개별 패치
Zeroboard 솔루션에는 HTML 태그에 사용되는 특수문자에 대해 타 문자로 치환하는 방식의 함수가 포함되어 있으며 해당 함수를 이용하여 패치 할 수 있다.
include/list_check.php 파일의 116, 117 번에서 $file_name1, $file_name2 변수에 값을 대입할 때, del_html() 함수를 사용한다.

수정 전: 

116                            $file_name1=$data[s_file_name1]; 117                            $file_name2=$data[s_file_name2];

수정 후: 

116                            $file_name1=del_html($data[s_file_name1]); 117                            $file_name2=del_html($data[s_file_name2]);

2. 관련 사이트
본 취약점에 대한 추가적인 정보를 확인할 수 있는 관련 사이트는 다음과 같다.

http://www.zeroboard.com/17757124#10

Copyright(c) 1998-2009 A3 Security ,LTD

Disclaimer
※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.