이번 업데이트에서는 Microsoft Windows, Office, Internet Explorer, SharePoint Server, Exchange 제품군에서 발견된 40건의 취약점에 대한 총 17개의 보안 패치가 공개되었습니다.
특히, 올해 공개된 핵발전소 공격을 목적으로 제작된 Stuxnet 악성코드에서 악용된 작업 스케줄러(Task Scheduler) 취약점으로 인한 권한 상승 문제를 유발하는 MS10-092 보안 패치가 추가되었습니다.
참고로 Stuxnet 악성코드 관련 취약점은 2010년 9월 보안 업데이트를 통해 소개를 하였으므로 참고하시기 바랍니다.
또한 11월 초에 공개된 Internet Explorer 제로데이(0-Day) 취약점 CVE-2010-3962를 이용하여 중국 범죄자들이 국내 인터넷 사용자의 온라인 게임 계정 탈취 목적으로 한 악성코드 유포가 가장 활발하게 이루어졌었는데 이번 보안 업데이트를 통하여 보안 패치가 공개되었으므로 반드시 설치를 하시기 바랍니다.
12월 Windows 악성 소프트웨어 제거 도구(MRT)에서는 Win32/Qakbot 시리즈에 대한 진단이 추가되었습니다.
Win32/Qakbot 악성코드는 백도어(Backdoor)류로 키로거(Keylogger) 기능을 이용하여 사용자 계정 정보, 은행 정보 등의 탈취와 루트킷(Rootkit) 기능을 포함하고 있는 악성코드입니다.
1. MS10-090 : Internet Explorer 누적 보안 업데이트(2416400) - 긴급
이 보안 업데이트는 Internet Explorer의 비공개적으로 보고된 취약점 4건과 일반에 공개된 취약점 3건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
2. MS10-091 : OTF(OpenType 글꼴) 드라이버의 취약점으로 인한 원격 코드 실행 문제점(2296199) - 긴급
이 보안 업데이트는 원격 코드 실행을 허용할 수 있는 비공개적으로 보고된 여러 건의 Windows OTF(OpenType Font) 드라이버 취약점을 해결합니다. 공격자는 네트워크 공유 위치에 특수하게 조작된 OpenType 글꼴을 호스팅할 수 있습니다. 그러면 사용자가 Windows 탐색기에서 공유 위치로 이동할 때 영향을 받는 제어 경로가 트리거되어 특수하게 조작된 글꼴이 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.
3. MS10-092 : 작업 스케줄러의 취약점으로 인한 권한 상승 문제점(2305420) - 중요
이 보안 업데이트는 Windows 작업 스케줄러의 공개된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.
4. MS10-093 : Windows Movie Maker의 취약점으로 인한 원격 코드 실행 문제점(2424434) - 중요
이 보안 업데이트는 Windows Movie Maker의 공개된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 사용자로 하여금 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Windows Movie Maker 파일을 열도록 유도할 경우 원격 코드 실행이 허용될 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
5. MS10-094 : Windows Media Encoder의 취약점으로 인한 원격 코드 실행 문제점(2447961) - 중요
이 보안 업데이트는 Windows Media Encoder의 공개된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Windows Media 프로필(.prx) 파일을 열도록 유도할 경우 원격 코드 실행이 허용될 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
6. MS10-095 : Microsoft Windows의 취약점으로 인한 원격 코드 실행 문제점(2385678) - 중요
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 라이브러리 파일과 동일한 네트워크 폴더에 있는 .eml 및 .rss(Windows Live 메일) 또는 .wpost(Microsoft Live Writer)와 같은 파일 형식을 열 경우 원격 코드 실행이 허용될 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
7. MS10-096 : Windows 주소록의 취약점으로 인한 원격 코드 실행 문제점(2423089) - 중요
이 보안 업데이트는 Windows 주소록의 공개된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 라이브러리 파일과 동일한 네트워크 폴더에 있는 Windows 주소록 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
8. MS10-097 : 인터넷 연결 등록 마법사의 안전하지 않은 라이브러리 로드로 인한 원격 코드 실행 문제점(2443105) - 중요
이 보안 업데이트는 Microsoft Windows 인터넷 연결 등록 마법사의 공개된 취약점을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에 대해 중요입니다. 지원 대상인 모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.
이 취약점으로 인해 사용자가 특수하게 조작된 라이브러리 파일과 동일한 네트워크 폴더에 있는 .ins 또는 .isp 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
9. MS10-098 : Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점(2436673) - 중요
이 보안 업데이트는 Microsoft Windows의 공개된 취약점 1건과 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 공격자가 시스템에 로컬로 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.
10. MS10-099 : 라우팅 및 원격 액세스의 취약점으로 인한 권한 상승 문제점(2440591) - 중요
이 보안 업데이트는 비공개로 보고된 Microsoft Windows의 라우팅 및 원격 액세스 NDProxy 구성 요소의 취약점을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에 대해 중요입니다. 지원 대상인 모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.
이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.
11. MS10-100 : 동의 사용자 인터페이스의 취약점으로 인한 권한 상승 문제점(2442962) - 중요
이 보안 업데이트는 동의 사용자 인터페이스(UI)의 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 영향을 받는 시스템에서 특수 조작된 응용 프로그램을 실행하면 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명 및 eImpersonatePrivilege를 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.
12. MS10-101 : Windows Netlogon 서비스의 취약점으로 인한 서비스 거부 문제점(2207559) - 중요
이 보안 업데이트는 도메인 컨트롤러로 작동하도록 구성된 영향을 받는 Windows Server 버전에서 Netlogon RPC 서비스의 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된 RPC 패킷을 영향을 받는 시스템의 Netlogon RPC 서비스 인터페이스로 보낼 경우 서비스 거부가 발생할 수 있습니다. 공격자는 이러한 취약점을 이용하기 위해 영향 받는 도메인 컨트롤러와 동일한 도메인에 가입된 시스템에 대한 관리자 권한이 있어야 합니다.
13. MS10-102 : Hyper-V의 취약점으로 인한 서비스 거부 문제점(2345316) - 중요
이 보안 업데이트는 Windows Server 2008 Hyper-V 및 Windows Server 2008 R2 Hyper-V에서 발견되어 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 Hyper-V 서버에서 호스팅하는 게스트 가상 컴퓨터 중 하나의 인증된 사용자가 특수하게 조작된 패킷을 VMBus로 보낼 경우 서비스 거부가 발생할 수 있습니다. 공격자는 이 취약점을 악용하기 위해 유효한 로그온 자격 증명이 있어야 하며 특수하게 조작된 콘텐츠를 게스트 가상 시스템에서 전송할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.
14. MS10-103 : Microsoft Publisher의 취약점으로 인한 원격 코드 실행 문제점(2292970) - 중요
이 보안 업데이트는 비공개적으로 보고된 취약점 5건을 해결합니다. 사용자가 특수하게 조작된 Publisher 파일을 열면 이 Microsoft Publisher 취약점을 통해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 어느 것이든 성공적으로 악용한 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
15. MS10-104 : Microsoft SharePoint의 취약점으로 인한 원격 코드 실행 문제점(2455005) - 중요
이 보안 업데이트는 비공개적으로 보고된 Microsoft SharePoint의 취약점을 해결합니다. 이 취약점으로 인해 문서 변환 부하 분산 서비스를 사용하는 SharePoint 서버 환경에서 공격자가 특수하게 조작된 SOAP 요청을 문서 변환 시작 관리자 서비스에 보낼 경우 게스트 사용자의 보안 컨텍스트에서 원격 코드 실행이 허용될 수 있습니다. 기본적으로 문서 변환 부하 분산 서비스 및 문서 변환 시작 관리자 서비스는 Microsoft Office SharePoint Server 2007에서 사용되지 않습니다.
16. MS10-105 : Microsoft Office 그래픽 필터의 취약점으로 인한 원격 코드 실행 문제점(968095) - 중요
이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 7건을 해결합니다. 이러한 취약점은 사용자가 Microsoft Office를 사용하여 특수하게 조작된 이미지 파일을 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
17. MS10-106 : Microsoft Exchange Server의 취약점으로 인한 서비스 거부 문제점(2407132) - 보통
이 보안 업데이트는 비공개적으로 보고된 Microsoft Exchange Server의 취약점을 해결합니다. 이 취약점으로 인해 인증된 공격자가 Exchange 서비스를 실행하는 컴퓨터에 특수하게 조작된 네트워크 메시지를 보낼 경우 서비스 거부가 발생할 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.
최근 제로데이 취약점을 이용하여 사용자가 국내 웹하드 및 유명 인터넷 사이트에 접속할 경우 악성코드가 자동으로 설치되는 사례가 많으므로 반드시 업데이트를 체크하여 제공되는 항목에 대해 모두 설치하시기 바랍니다.
[관련글 보기]
2008/01/29 - [벌새::Security] - 윈도우 정기 보안 업데이트