Officscan 8.0 server 수동삭제

1. Go to Services and stop the OfficeScan Master Service.
  
2. Open a command prompt and then go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV.
  
3. Run the following command:
    SVRSVCSETUP.EXE -uninstall
4. Exit the command prompt.
 
5. Open the Registry Editor.
   Important: Always back up the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.

6.Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
 
7.Make sure that ofcservice hive is deleted.
 
8.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\OfficeScan\.
 
9.Delete the OfficeScan hive.
 
10.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
 
11.Delete the OfficeScan Management Console-<ServerName> folder.
 
12.Go to the C:\Program Files\Trend Micro\OfficeScan\PCCSRV folder.
 
13.Undo the sharing of the \PCCSRV folder.

14.Reboot the server.
 
15.Go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV and delete the \PCCSRV folder.
 
16.Delete the OfficeScan Web site in the Internet Information Services (IIS).
    a.Open the IIS console.
    b.Expand the ServerName.
    c.If you installed OfficeScan on a separate web site, go to Web Sites folder and then delete OfficeScan.
    d.If you installed OfficeScan virtual directories under Default Web Site, go to Default Web Site and then delete the OfficeScan virtual directory.
 

Officescan 8.0 client 수동삭제 방법

     Note: Make sure you have logged on using an account with Administrator privileges.
 1. Right-click on the OfficeScan system tray icon then select Unload OfficeScan.
If you are asked for a password, enter the unload password then click OK. If you do not know the password, skip this step.
 2. Open the Windows Services console (services.msc).
 3. Stop the following services:
   – OfficeScanNT Listener
   – OfficeScanNT RealTime Scan
   – OfficeScanNT Personal Firewall
    Note: The services will already be stopped if you were able to unload the OfficeScan client in Step 1.
 4. Click Start > Programs, right-click on Trend Micro OfficeScan Client then click Delete.
 5. Open the Registry Editor (regedit.exe).
   Important: Always make a back up copy of the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.
 6. 
    a. Delete the following registry key(s):
         If only the OfficeScan client program is installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
         If there are other Trend Micro products installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
    b.Delete the following registry key:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT
    c. Delete the following registry value:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Name: OfficeScanNT Monitor (REG_SZ)
    d. Delete all instances of the following registry keys in the following locations:
            Locations:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
           Keys:
       ntrtscan
       tmcfw
       tmcomm
       TmFilter
       Tmlisten
       tmpfw
       TmPreFilter
       TmProxy
       tmtdi
       VSApiNt
       ntrtscan
7. Close the Registry Editor.
8. Click Start > Settings > Control Panel then double-click System.
9. Click the Hardware tab then click Device Manager.
10.Click View > Show hidden devices.
11.Expand Non-Plug and Play Drivers then uninstall the following devices:
    tmcomm
    Trend Micro Filter
    Trend Micro PreFilter
    Trend Micro TDI Driver
    Trend Micro VSAPI NT
 
12. Uninstall the Common Firewall Driver:
    a. Right-click on My Network Places then click Properties.
    b. Right-click on Local Area Connection then click Properties.
    c. On the General tab, select Trend Micro Common Firewall Driver then click Uninstall.
      For Windows Vista clients, do the following:
    a. Right-click on Network then click Properties.
    b. Click Manage network connections.
    c. Right-click on Local Area Connection then click Properties.
    d. On the Networking tab, select Trend Micro Common Firewall Driver then click Uninstall.
13. Restart the computer.
14. Delete the following directory:
     If only the OfficeScan client program is installed:
     C:\Program Files\Trend Micro
     If there are other Trend Micro products installed:
     C:\Program Files\Trend Micro\OfficeScan Client

[SIC] 바이러스 의심파일 찾기 프로그램 (Trend제공)

요즘은 바이러스가  시스템 깊숙히 숨는 경향이 있기때문에  찾는 것이 쉽지않습니다.
백신을 돌려서 치료를 다 했는데도 여전히 비정상적인 활동을 보이는 pc가 있다면
ICE sword 등을 이용하여  수상한 파일을  찾을 수있는데요  사용법이 복잡합니다.
아직 백신이 검색 하지 못하는 의심파일을 추출하여  백신사에 재빨리 보내는 것이 중요한데요..
이럴때 쓸 수 있는 프로그램이 바로  이것입니다.
SIC 프로그램은  시스템의 세부 정보들과 의심스런 파일을 손쉽게 수집할수있게해줍니다.

다운로드 URL:
http://www.trendmicro.com/download/sic.asp

로그파일 생성위치:  SIC프로그램 아래의 SICLOG 폴더
로그파일 명:   SICLOG*****  라는 파일
주요 검색어: Rootkit Information 라는 단어를 찾아서 그 하단의 내역에 주목하세요사용자 삽입 이미지
의심파일을 추출해보도록 하겠습니다.  [Retrieve file]버튼을 클릭하시면  의심파일 리스트가 뜹니다.
여기서 정상파일은 제외하고   압축하면 되겠습니다.
SIC 프로그램 폴더내에 생긴 SUSPECT 파일이  바로 샘플파일이 되겠습니다.
이 파일은 백신사에 보내어  분석하여 새로운 백신패턴에 적용되도록 하면 되겠네요…
사용자 삽입 이미지사용자 삽입 이미지

WSUS에서 보안패치 KB넘버가 검색이 안될때

지난 8월에  보안패치를 SUS에서 설치하도록 하려했는데 해당KB넘버가 보이지않더군요..
평소에 자동으로 MS사이트에서  SUS서버로 패치를 다운로드받도록 설정했는데 말이죠..
다운로드된 패치 KB넘버를 검색하여  Approve해주면  그  패치는 클라이언트들이 받아가게 됩니다.
approve를 해야하는데  KB넘버가 안나오니  설치를 할수가 없는거죠.
확인결과    결론적으론  KB게시판의 내용을 자세히 안 본것이 원인이 되었더군요…

여기서는 MS09-043를 기준으로 설명을 하겠습니다.  ^^ 
KB넘버가  957648로 보입니다.
사용자 삽입 이미지
아래 화면에서 보시듯  957638은 검색해도 나오지 않습니다.  
사용자 삽입 이미지
이런 경우   해당 KB 링크를 클릭하여    들어가 보도록 하겠습니다.
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=MS09-043

아래의 KB957638 페이지 내부를 보면  영향받는 소프트웨어 란에 
적용받는 product별로 세부 KB넘버가 또 나오게 됩니다.
사용자 삽입 이미지
저는 여기서 Microsoft Office2003 Web component 서비스팩3를 우선 패치하도록 하겠습니다.
KB넘버는 947319입니다. SUS에서 찾으니 이제 찾아지네요.. approve함으로써 패치배포 가능해졌네요

사용자 삽입 이미지

2009-09 MS 보안패치가 공지되었습니다.

 9월 Microsoft 보안패치가 발표되었습니다.  5개의 보안패치가 모두  긴급이며 리부팅이 필요합니다.    하나같이  원격코드를 실행 또는 권한상승이 된다고  하는 군요..   ㅠㅠ      8월에 중요패치가 많이 나왔었는데  패치들은 하셨나요?   MS09-048의 경우엔 서버에 중요한 패치가 될 것 같습니다. 패치를 서둘러주세요.  중요도 순으로 패치들은 나열이 되어 있습니다.

9월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-045

JScript 스크립팅 엔진의 취약점으로 인한 원격 코드 실행 문제점 (971961)

이 보안 업데이트는 DHTML Editing Component ActiveX 컨트롤에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 공격자는 특수하게 조작된 웹 페이지를 구성하여 이러한 취약점을 악용할 수 있습니다. 사용자가 해당 웹 페이지를 볼 경우 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행
MS Windows,

MS09-049

무선 LAN 자동 구성 서비스의 취약점으로 인한 원격 코드 실행 문제점 (970710)

이 보안 업데이트는 무선 LAN 자동 구성 서비스에서 발견되어 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 무선 네트워크 인터페이스가 사용되는 클라이언트나 서버에서 특수하게 조작된 무선 프레임을 수신하는 경우 원격 코드 실행이 발생할 수 있습니다. 무선 카드를 사용하지 않는 시스템은 이 취약점으로 인한 위험에 노출되지 않습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-047

Windows Media Format의 취약점으로 인한 원격 코드 실행 문제점 (973812)

이 보안 업데이트는 Windows Media Format에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 미디어 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 사용자가 관리자 권한으로 로그온한 경우, 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-048

Windows TCP/IP의 취약점으로 인한 원격 코드 실행 문제점 (967723)

이 보안 업데이트는 비공개적으로 보고된 TCP/IP(Transmission Control Protocol/Internet Protocol) 처리의 몇 가지 취약점을 해결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된 TCP/IP 패킷을 네트워크를 통해 수신하는 서비스가 있는 컴퓨터로 전송하는 경우 원격 코드 실행이 발생할 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-046

DHTML Editing Component ActiveX 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (956844)

이 보안 업데이트는 DHTML Editing Component ActiveX 컨트롤에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 공격자는 특수하게 조작된 웹 페이지를 구성하여 이러한 취약점을 악용할 수 있습니다. 사용자가 해당 웹 페이지를 볼 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

[officescan] 특정 설치위치 지정하여 설치패키지 만들기

   트렌드마이크로의 기업용 백신인 Officescan은  기본적으로 OS가 설치된 드라이브에 설치되도록 되어있습니다.  이외의 디렉토리를 지정해서 설치할 수 없게 되어 있습니다.  설치시   설치위치를 물어보지않죠..  그러면…  서버의 경우  C드라이브 공간이 매우 적게 잡혀있는 경우  매우 곤란하게 됩니다. 임시파일을 다운로드 받고   그 파일을 풀어서  드라이브에 설치하는데 350M정도의 여유가 필요합니다. C드라이브에 그 이하의 공간만 남아있다면  아마도 설치에 실패하실 것입니다.  난감한거죠…

이럴땐  다른 드라이브에 설치가능한  별도의 설치패키지를 만들어야 합니다.
여기선  d:\ProgramFiles\Trend Micro\OfficeScan Client\폴더에 설치하는 패키지를 만들어보겠습니다.

▶ 설치환경파일 편집하기
트렌드 Officescan 중앙서버의  OfficeScan\PCCSRV 폴더내부에 있는 ofcscan.ini 파일을 열어보세요
이 파일은 서버에 저장된 제반 정책및  여러가지 환경설정값들이 들어있습니다.
먼저 이 파일의 백업본을 만들어두세요.. (패키지를 만든후 다시 원복해야하니까요) ofcscan_bakcup.ini
WinNT_InstallPath=$ProgramFiles\Trend Micro\OfficeScan Client 항목으로 이동합니다.
WinNT_InstallPath=d:\ProgramFiles\Trend Micro\OfficeScan Client 라고 바꿔줍니다.

▶ 설치패키지를 만들겠습니다.
D:\OfficeScan\PCCSRV\Admin\Utility\ClientPackager 폴더로 이동합니다.
ClnPack.exe 를 실행합니다.
아래와 같이 패키지를 만드면 됩니다.
사용자 삽입 이미지
▶ 환경파일을 원복합니다.
  트렌드 Officescan 중앙서버의  OfficeScan\PCCSRV 폴더내부에 있는 ofcscan.ini 파일을 원복하세요
이거 잊으시면 예기지 않은 에러를 만나게 될 수도 있으니까요… 

2009-08 MS 보안패치 요약입니다

 8월 Microsoft 보안패치가 발표되었습니다.  9개씩이나 발표되었구요.. 그중에 긴급이 5개, 중요가 4개 되겠습니다. 또한  9개중에 8개가  리부팅이 필요합니다..     하나같이  원격코드를 실행 또는 권한상승이 된다고  하는 군요..   ㅠㅠ      7월에는 서버에 중요한 패치가 없었으나  8월엔 많습니다. 혹 미루셨던 관리자님들이 계시다면 이번달엔 미루시면 안될 듯합니다.   혹 7월 말에 나온 비정규 긴급패치를 안 하신 분이 있다면   그것도 꼭 빼놓지 마시기 바랍니다.

7월말 비정규 패치 요약 보러 가기

8월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-043

Microsoft Office Web Components의 취약점으로 인한 원격 코드 실행 문제점 (957638)

이 보안 업데이트는 비공개적으로 보고된 여러 건의 취약점을 해결합니다. 사용자가 특수하게 조작된 웹 페이지를 열면 Microsoft Office Web Components 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행
MS Office,
MS Visual Studio,
ISA Server,
BizTalk Server

MS09-044

원격 데스크톱 연결의 취약점으로 인한 원격 코드 실행 문제점 (970927)

이 보안 업데이트는 Microsoft 원격 데스크톱 연결에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 공격자가 터미널 서비스 사용자로 하여금 악성 RDP 서버에 연결하도록 유도한 경우, 또는 사용자가 이 취약점을 악용하는 특수하게 조작된 웹 사이트를 방문하는 경우 원격 코드 실행이 발생할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
RDP for Mac

MS09-039

WINS의 취약점으로 인한 원격 코드 실행 문제점 (969883)

이 보안 업데이트는 비공개적으로 보고된 WINS(Windows Internet Name Service)의 취약점 2건을 해결합니다. 이러한 취약점으로 인해 사용자가 WINS 서비스가 실행되는 영향 받은 시스템에서 특수하게 조작된 WINS 복제 패킷을 수신할 경우 원격 코드 실행이 발생할 수 있습니다. 기본적으로 WINS는 영향을 받는 운영 체제 버전에 설치되지 않으며, 이 구성 요소를 수동으로 설치한 고객만 이 문제의 영향을 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-038

Windows Media 파일 처리의 취약점으로 인한 원격 코드 실행 문제점 (971557)

이 보안 업데이트는 Windows Media 파일 처리에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 AVI 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 사용자가 관리자 권한으로 로그온한 경우, 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-037

Microsoft ATL(액티브 템플릿 라이브러리)의 취약점으로 인한 원격 코드 실행 문제점 (973908)

이 보안 업데이트는 비공개적으로 보고된 Microsoft ATL(액티브 템플릿 라이브러리)의 몇 가지 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 구성 요소를 로드하거나 악성 웹 사이트에서 호스팅하는 컨트롤을 로드하는 경우 원격 코드 실행이 발생할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-041

Workstation 서비스의 취약점으로 인한 권한 상승 문제점 (971657)

이 보안 업데이트는 비공개적으로 보고된 Windows Workstation 서비스의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된 RPC 메시지를 만든 후 영향 받는 시스템으로 전송할 경우 권한 상승이 발생할 수 있습니다. 이 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 시스템을 완전히 제어할 수 있습니. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 공격자가 이 취약점을 악용하려면 취약한 시스템에 대한 유효한 로그온 자격 증명이 필요합니다. 익명 사용자는 이 취약점을 악용할 수 없습니다.

중요, 리부팅 필요
권한상승

MS Windows,

MS09-040

Message Queuing의 취약점으로 인한 권한 상승 문제점 (971032)

이 보안 업데이트는 비공개적으로 보고된 Windows MSMQ(Message Queuing Service)의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 영향 받은 MSMQ 서비스에 대해 특수하게 조작된 요청을 받은 경우 권한 상승이 발생할 수 있습니다. 기본적으로 Message Queuing 구성 요소는 영향을 받는 운영 체제 에디션에 설치되지 않으며, 관리자 권한을 가진 사용자가 직접 설정해야만 사용할 수 있습니다. Message Queuing 구성 요소를 수동으로 설치한 경우에만 이 문제에 취약할 가능성이 높습니다.

중요, 리부팅 필요
권한상승

MS Windows,

MS09-036

Microsoft Windows ASP.NET 취약점으로 인한 서비스 거부 문제점 (970957)

이 보안 업데이트는 비공개로 보고된 Microsoft Windows Microsoft .NET Framework 구성 요소의 서비스 거부 취약점을 해결합니다. 이 취약점은 IIS(인터넷 정보 서비스) 7.0이 설치되어 있고 ASP.NET이 영향을 받는 Microsoft Windows 버전에서 통합 모드를 사용하도록 구성된 경우에만 악용될 수 있습니다. 공격자는 관련된 응용 프로그램 풀이 다시 시작되기 전까지는 영향을 받는 웹 서버가 응답하지 못하도록 만드는 특수하게 조작된 익명의 HTTP 요청을 만들 수 있습니다. 클래식 모드에서 IIS 7.0 응용 프로그램 풀을 실행하는 고객은 이 취약점의 영향을 받지 않습니다.

중요, 리부팅 불필요
서비스 거부

MS Windows,

.NET Framework

MS09-042

텔넷의 취약점으로 인한 원격 코드 실행 문제점 (960859)

이 보안 업데이트는 일반에 공개된 Microsoft 텔넷 서비스의 취약점을 해결합니다. 이 취약점으로 인해 공격자는 자격 증명을 획득한 후 이 자격 증명을 사용하여 영향 받는 시스템에 다시 로그인할 수 있습니다. 그런 후 공격자는 로그온한 사용자의 사용자 권한과 동일한 시스템에 대한 사용자 권한을 획득합니다. 이 시나리오에서는 결과적으로 영향 받는 시스템에서 원격 코드가 실행될 수 있습니다. 취약점 악용에 성공한 공격자는 프로그램을 설치하거나 데이터를 보고 변경하거나 삭제하고 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격코드 실행

MS Windows,

[adobe 보안업데이트] adobe flash player를 10.0.32.18로 업데이트

Adobe Flash Player / Adobe Air에서 권한상승, 버퍼오버플로, 클릭재킹 등의 다수 취약점이 발견되어 보안 업데이트가 발표되었습니다.   이 취약점을 이용하여 공격자는 조작된 SWF 파일이 포함된 웹 페이지를 방문하는 피해자의 PC에서 악성 스크립트를 실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있다고 합니다.

(참고자료) 보안뉴스: http://www.boannews.com/media/view.asp?idx=17346&skind=D

  ▶ Adobe Flash Player/Adobe Air 취약점 내역
    – 원격코드 실행으로 연계 가능한 메모리 손상 취약점[2] (CVE-2009-1862)
    – 취약한 ATL 헤더에 의해 발생하는 Adobe Flash Player의 원격코드실행 취약점[3,4,5]
       (CVE-2009-0901, CVE-2009-2395, CVE-2009-2493)      
    – 원격코드실행으로 연계 가능한 권한 상승 취약점[7] (CVE-2009-1863)
    – 원격코드실행으로 연계 가능한 힙오버플로 취약점[8] (CVE-2009-1864)
    – 원격코드실행으로 연계 가능한 널 포인터 취약점[9] (CVE-2009-1865)
    – 원격코드실행으로 연계 가능한 스택오버플로 취약점[10] (CVE-2009-1866)
    – 링크와 다이얼로그를 사용자가 모르게 클릭하도록 유도하는 클릭재킹 취약점[11] (CVE-2009-1867)
    – URL을 처리하는 과정에서 원격코드실행이 가능한 힙오버플로 취약점[12] (CVE-2009-1868)
    – 원격코드실행으로 연계 가능한 정수오버플로 취약점[13] (CVE-2009-1869)
    – Flash 파일(확장자:SWF)이 하드디스크에 저장될 때 정보가 노출되는 취약점[14] (CVE-2009-1870)

  ▶ 어떻게 adobe 보안업데이트를 설치할 것인가?
Adobe Flash Player 10.0.22.87 이하 버전의 사용자는 10.0.32.18 버전으로 업그레이드 해야합니다.  Adobe에 따르면  IE플러그인만 취약하므로  타 브라우저에서 이용하는 Flash Player 는 영향받지않는다고 합니다.  

  또 Adobe는   플래시 플레이어와 쇼크웨이브 플레이어의 전반적인 컨트롤과 관련해 심층방어의 수단으로써 IE의 공격 벡터를 완화해주는 마이크로소프트의 MS09-034 설치를 이용자들에게 권장했습니다. MS09-034는 7월말에 발표된 MS 비정규 패치에 포함되어 있습니다.
패치관련 정보 보기:   http://www.w-security.net/entry/patch-200707-urgent

  1) 현재 내가 사용하는 Flash Player의 버전을 확인하려면
       http://www.adobe.com/software/flash/about
       위 URL에 접속하시면 내 pc에서 사용하는 flash player의 현재 버전을 확인할 수 있습니다.
       바로 아래에는 업데이트되어야 하는 최근 버전을 표시해줍니다.사용자 삽입 이미지
  2) Flash Player를 업데이트 하려면
       http://www.adobe.com/go/getflash   
       중간에 보이는 google toolbar 설치옵션을 해지하시구요..
       [동의 및 지금 설치하기]버튼을 클릭하시면 되겠습니다. 사용자 삽입 이미지사용자 삽입 이미지설치가 끝났으면 정상적으로  최신 버전의 Flash player가 잘 설치되었나 확인해보시면 되겠습니다.
       http://www.adobe.com/software/flash/about

사용자 삽입 이미지

DNS 마스터 서버 손상시키는 익스플로잇이 유통중, 업그레이드 시급

   DNS는 평소엔 그다지 주의깊게 관리 되지않는 기반서비스입니다.  별 신경쓰지않아도 잘 돌아가는 착한 서비스이죠.. 하지만 일단 문제가 생기면  정말 아무 것도 할 수 없게 만드는 정말 중요한 서비스입니다.  과거의  인터넷 대란 사태때에도  DNS 서비스 마비가  직접적인 원인이 되었었죠..

   ERP서비스등은  실시간  복제등 철저한 관리를 받고 있으나  DNS서비스는 사실 더 중요한 서비스임에도  소홀히 여겨지는 경우가 많습니다.  유닉스기반의 DNS를 관리하는 경우 전문지식이 부족하여  방치되는 경우도 있습니다.   현재 DNS서버의 BIND취약점을 공격하는 익스플로잇이 유통되고 있다고 합니다.  DNS 시스템 관리자분들께서는 즉각적인 점검및 업그레이드를 서둘르셔야 할 듯합니다.

================================================================
원문참조: http://www.boannews.com/media/view.asp?idx=17328&kind=1 

  인터넷상에서 가장 많이 이용되고 있는 DNS 서버 BIND의 취약점이 도메인 네임 시스템 서버를 파괴하는 수단으로 이용될 수 있어 결과적으로 인터넷 안정성 전반이 위협받고 있다는 경고가 제기 됐다.  소프트웨어 개발 그룹 인터넷 소프트웨어 컨소시엄(Internet Software Consortium, 이하 ISC)는 지난 28일(현지 시간) 홈페이지를 통해 BIND(Berkeley Internet Name Domain Server) 버전 9를 타겟으로 하는 익스플로이트가 유통되고 있다고 경고했다.  또한 ISC는 이 버그를 ‘고위험’으로 분류하고 관리자들에게 즉시 이를 방어하기 위해 업그레이드 할 것을 촉구했다.

이에 따르면 시스템 관리자들은 신속하게 BIND 서버를 버전 .4.3-P3, 9.5.1-P3, 또는 9.6.1-P1 버전으로 업그레이드해야 한다. 그러나 마스터 서버는 이 취약점에 영향을 받지만 슬레이브 시스템(slave system)은 영향 받지 않는다고 ISC는 덧붙였다. 그러나 이 취약점은 악의적인 업데이트 메시지로 서버 충돌을 야기하는 문제를 가져올 수 있다고 ISC는 지적했다. ISC는 홈페이지를 통해 “특정한 원격 다이내믹 업데이트 메시 수신으로 BIND 서비스 거부(서버 충돌)가 야기되고 있다”며 “마스터 서버 존에 대해 특수하게 고안된 다이내믹 업데이트 메시지가 BIND 9 버전이 종료되게 할 수 있다. 테스트 결과 이 공격 패킷이 마스터 서버에 대해 조직된 것으로 나타났다”고 설명했다.

또한 “이 취약점은 하나 이상의 존을 가진 모든 마스터 서버에 영향을 끼친다”며 특히 “다이내믹 업데이트를 허용하도록 설정되어있는 마스터 서버로 제한된 것이 아니다”라고 강조했다. 인터넷 DNS 서버의 대다수가 BIND를 이용하고 있는 만큼 BIND 취약점은 잠재적으로 심각한 위협이 될 수 있다. 다른 모든 문제 중에서도 특히 웹 서핑이나 이메일 전송을 방해하는 수단으로 이용될 수 있어 우려를 낳고 있다.

2009-07 비정규 MS 보안패치 요약입니다

  정규 긴급보안패치를 Microsoft에서 발표하였습니다.  두개의 보안패치가 나왔구요…   비정규 패치들은 사실 긴급성이 있기 때문에 나온 것이어서  최대한 빨리 설치하시는 것이 좋습니다.  이번에 발표된 패치는 두개가 연관성이 있어서 두개를 함께 설치하셔야 합니다.  IE패치은 일반 유저용이며  Visual Studio ATL패치는 개발자용이 되겠습니다.     2개 모두 리부팅이 필요합니다…      

2009년 7월 비정규 패치:   총 2개:   긴급 / 재시작: 1개   보통 / 재시작: 1개

긴급  ▲ , 중요 △ ,보통 ▽ , 재시작 ◐    배열순서는 심각도 순입니다.

  MS09-034  Internet Explorer 누적 보안 업데이트 (972260) 

    이 보안 업데이트는 취약한 Microsoft ATL(액티브 템플릿 라이브러리) 버전을 사용하여 개발된 구성 요소와 컨트롤의 취약점에 대해 설명하는 Microsoft 보안 공지 MS09-035와 함께 릴리스되었습니다. 심층적인 보안 대응책으로써, 이 Internet Explorer 보안 업데이트는 Microsoft 보안 권고(973882) 및 Microsoft 보안 공지 MS09-035에 설명되어 있는 취약한 버전의 ATL로 개발된 구성 요소와 컨트롤을 이용하는 Internet Explorer의 알려진 공격 방법을 완화할 뿐만 아니라  비공개적으로 보고된 Internet Explorer의 세 가지 취약점을 해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

 MS09-035   Visual Studio ATL의 취약점으로 인한 원격 코드 실행 문제점 (969706) 

     이 보안 업데이트는 Visual Studio에 포함되어 있는 Microsoft ATL(액티브 템플릿 라이브러리)의 공개 버전에서 비공개적으로 보고된 몇 가지 취약점을 해결합니다. 이 보안 업데이트는 구성 요소와 컨트롤을 개발하는 개발자를 위해 특별히 개발된 것입니다. ATL을 사용하여 구성 요소와 컨트롤을 만들고 재배포하는 개발자는 이 보안 공지에 제공된 업데이트를 설치하고, 함께 제공된 지침에 따라 이 보안 공지에서 설명하는 취약점을 갖지 않는 구성 요소와 컨트롤을 만들어 자신의 고객에게 배포해야 합니다.이 보안 공지에서는 사용자가 취약한 버전의 ATL로 작성된 구성 요소나 컨트롤을 로드할 경우 원격 코드가 실행될 수 있는 취약점에 대해 설명합니다.