이번 업데이트에서 가장 중요한 이슈는 MIDI, Directory Show 취약점을 이용하여 악의적으로 조작된 미디어 파일을 Windows Media Player를 통해 실행할 경우 원격 코드 실행이 가능한 긴급 보안 패치 MS12-004가 포함되어 있습니다.
또한 2011년 9월에 일부 정보가 공개된 SSL 3.0 및 TLS 1.0 취약점에 대한 보안 패치가 2011년 12월 정기 보안 업데이트에 포함될 예정이었으나, 파트너사 제품과의 호환성 문제로 이번에 MS12-006 패치로 공개되었습니다.
그 외에 Microsoft Visual C++ .NET 2003 개발 도구로 컴파일된 응용 소프트웨어를 통해 Windows 커널 SafeSEH 보안 기능을 우회할 수 있는 취약점에 대한 문제를 MS12-001 보안 패치를 통해 해결하였습니다.
2012년 1월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에 새롭게 추가된 Win32/Sefnit 악성코드 정보를 살펴보면, BlackHole Exploit Kit 악성 스크립트 또는 Keygen(Crack)과 같은 파일을 통해 유포가 이루어지고 있으며 감염시 Internet Explorer, Mozilla Firefox 웹 브라우저를 감시하여 사용자가 Bing, Yahoo!, Google 검색시 결과를 변조하거나 리다이렉트(Redirect)를 시도하는 트로이목마(Trojan) 계열입니다.
감염 파일은 dll 파일로 구성되어 있으며, 시스템 시작시 정상적인 rundll32.exe 프로세스에 추가된 시작 프로그램 방식으로 동작이 이루어지고 있습니다.
1. MS12-001 : Windows 커널 취약점으로 인한 Kernel 보안 기능 우회(2644615) - 중요
- CVE-2012-0001 : Windows 커널 SafeSEH 우회 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 공격자가 소프트웨어 응용 프로그램에서 SafeSEH 보안 기능을 우회할 수 있도록 합니다. 그런 후 공격자는 다른 취약점을 이용하여 구조적 예외 처리기가 임의 코드를 실행하도록 할 수 있습니다. Microsoft Visual C++ .NET 2003을 사용하여 컴파일한 소프트웨어 응용 프로그램만 이 취약점을 악용하는 데 이용될 수 있습니다.
2. MS12-002 : Windows 개체 포장기의 취약점으로 인한 원격 코드 실행 문제점(2603381) - 중요
- CVE-2012-0009 : 개체 포장기 비보안 실행 파일 시작 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 실행 파일과 동일한 네트워크 디렉터리에 있는 포함된 패키지 개체를 포함하는 합법적인 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
3. MS12-003 : Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점(2646524) - 중요
- CVE-2012-0005 : CSRSS 권한 상승 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008 에디션에 대해 중요입니다. 지원 대상인 Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.
이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 그런 후 공격자는 영향을 받는 시스템을 완전히 제어하고 프로그램을 설치할 수 있으며, 데이터를 보거나 변경하거나 삭제할 수 있고, 모든 사용자 권한을 갖는 새 계정을 만들 수 있습니다. 이 취약점은 중국어, 일본어 또는 한국어 시스템 로캘로 구성된 시스템에서만 악용될 수 있습니다.
4. MS12-004 : Windows Media의 취약점으로 인한 원격 코드 실행 문제점(2636391) - 긴급
- CVE-2012-0003 : MIDI 원격 코드 실행 취약점
- CVE-2012-0004 : Directory Show 원격 코드 실행 취약점
이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 미디어 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
5. MS12-005 : Microsoft Windows의 취약점으로 인한 원격 코드 실행 문제점(2584146) - 중요
- CVE-2012-0013 : 어셈블리 실행 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 사용자가 악성의 내장형 ClickOnce 응용 프로그램이 들어 있는 특수하게 조작된 Microsoft Office 파일을 열 경우 원격 코드가 실행되도록 할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
6. MS12-006 : SSL/TLS의 취약점으로 인한 정보 유출 문제점(2643584) - 중요
- CVE-2011-3389 : SSL 및 TLS 프로토콜 취약점
이 보안 취약점은 SSL 3.0 및 TLS 1.0의 공개된 취약점을 해결합니다. 이 취약점은 프로토콜 자체에 영향을 미치며 Windows 운영 체제와는 관련이 없습니다. 이 취약점은 공격자가 영향 받은 시스템에서 제공된 암호화된 웹 트래픽을 가로챌 경우 정보가 노출되도록 할 수 있습니다. TLS 1.1, TLS 1.2, 그리고 CBC 모드를 사용하는 모든 암호 그룹은 영향을 받지 않습니다.
7. MS12-007 : AntiXSS 라이브러리의 취약점으로 인한 정보 유출 문제점(2607664) - 중요
- CVE-2012-0007 : AntiXSS 라이브러리 우회 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리의 취약점 1건을 해결합니다. 이 취약점은 공격자가 AntiXSS 라이브러리의 삭제 기능을 사용하여 웹 사이트에 악성 스크립트를 제공할 경우 정보가 유출되도록 할 수 있습니다. 이러한 정보 노출의 결과는 정보 자체의 특성에 따라 좌우됩니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 생성할 수 있습니다. AntiXSS 라이브러리의 삭제 모듈을 사용하는 사이트만 이 취약점의 영향을 받습니다.
매월 정기적으로 제공하는 Windows 보안 패치를 반드시 설치하시고 인터넷을 이용하시는 습관을 가지시기 바랍니다.