구글 프로젝트 제로 화이트햇 해커가 다이렉트라이트(DirectWrite) 클라이언트 컨텍스트에서 원격 코드 실행에 악용될 수 있는, 최근 패치된 윈도우 취약점 CVE-2021-24093에 대한 세부 정보를 공개했다.
CVE-2021-24093은 윈도우 모든 운영체제 내 그래픽 컴포넌트에 존재하고, CVSS 8.8점을 받았다.
다이렉트라이트는 다중 형식 텍스트의 측정, 그리기 및 적중 테스트를 지원하도록 설계된 윈도우 API다.
해당 취약점은 구글 보안연구원들이 발견했다. 구글은 지난 11월 마이크로소프트에 이 이슈를 보고하고 최근 관련 상세 기술 내용을 공개했다. 이 취약점은 2021년 2월 패치 업데이트를 통해 수정되었다.
공개된 리포트에 따르면, 공격자는 사용자를 속여 취약점을 트리거 하도록 설계된 악성 파일을 호스팅 하는 사이트를 방문하도록 함으로써 해당 결함을 악용할 수 있다.
CVE-2021-24093 취약점은 특수 제작된 TrueType 폰트를 처리하는 부분에 존재하는 다이렉트라이트힙 기반 버퍼 오버플로우다.
구글 보고서는 “손상된 “maxp” 테이블이 있는 잘못된 형식의 TrueType 폰트를 로딩 및 레스터화 할 때 DWrite!fsg_ExecuteGlyph 함수에서 크래시가 발생하는 것을 발견했다. 특히, 테스트 폰트에서 maxPoints 필드의 값을 168에서 0으로 변경하고, maxCompositePoints 값을 2352에서 3으로 수정한 후 트리거 되었다. 이로 인해 힙에서 부적절하게 작은 버퍼가 할당되는 것이다.”라고 설명한다.
연구원들은 또한 해당 취약점에 대한 PoC 익스플로잇도 공개했다.
◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장
-날짜: 2021년 3월 9일(화) / 온라인 개최
-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자
-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★