Blue Pill?? Purple Pill??

요즘 Pill이 대세인가요??

Joanna Rutkowska가 Blue Pill에 대해서 소개한 것이 시초가 되어
얼마전에 Alex lonescu가 Purple Pill이란 Vista Kernel Tampering Tool을
내 놓았습니다. 그런데 약 한시간동안 공개했다가 다시 닫아버렸습니다.
이 친구가 요즘 Apple사에서 Summer Intern을 하고 있다고 하네요. MS하고
Apple로 부터 좀 압박(?)을 받았다고 합니다.

http://blogs.zdnet.com/security/?p=427
(Vista kernel tampering tool released, then mysteriously disappers)

64bit-Vista에서는 커널 드라이버의 경우 code signing을 거쳐야 커널 드라이버를
사용할 수 있다고 합니다. 그런데 일부 결함이 존재하는 code sign된 드라이버를
통해서 sign되지 않은 드라이버를 로딩할 수 있다는 것입니다.

http://blogs.zdnet.com/security/?p=438 (ATI driver flaw exposes VIsta Kernel)

결함이라는게 ATI 드라이버를 통해서 원하는 메모리에 접근하여 write할 수 있기
때문에 unsigned 드라이버를 일반적으로 signed 드라이버와 같이 로딩할 수 있다는
것입니다.

문제는 이미 code signing을 마친 드라이버에도 분명 이러한 결함이 잠재되어 있을수
있다는 것입니다. (ATI 뿐만 아니라 NVIDIA nTune 드라이버도 업데이트 했네요.)

어쨌든 MS에서 비스타의 강점이라고 부각시켜 왔던 anti-rookit/ anti-DRM security가
앞으로도 계속 공격을 받게 될 거 같습니다. 어느 사람 말대로 정말 "never-ending
cat-and-mouse game"이 되겠군요.

by nerd | 2007/08/22 11:32 | Security | 트랙백 | 덧글(1)


트랙백 주소 : http://nerd.egloos.com/tb/3349495
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented by Woof at 2007/08/22 13:07
큰 문제군요. ;

:         :

:

비공개 덧글

◀ 이전 페이지다음 페이지 ▶