본문 바로가기

벌새::Security

마이크로소프트(Microsoft) 2011년 12월 보안 업데이트

마이크로소프트(Microsoft)사에서 매월 정기적으로 제공하는 2011년 12월 보안 업데이트가 공개되었습니다.

이번 업데이트에서는 원래 발표 예정이었던 보안 패치 중 한 개가 특정 업체 제품과의 호환성 문제가 발견되어 제외 처리되었으며, Microsoft Windows, Office, Internet Explorer, Microsoft Publisher, Windows Media Player 제품군에서 발견된 19건의 보안 취약점에 대한 13개의 보안 패치가 포함되어 있습니다.

참고로 제외 처리된 보안 패치는 현재 수정을 통해 차후에 배포가 이루어질 예정으로 알려져 있습니다.

특히 이번 보안 패치에서는 Win32k TrueType font parsing 엔진의 취약점을 이용하여 커널 모드에서 임의의 코드를 실행하여 백도어(Backdoor) 악성코드 Duqu를 감염시키는데 이용된 제로데이(0-Day) 취약점이 MS11-087 패치를 통해 해결이 되었습니다.

Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에 새롭게 추가된 Win32/Helompy 악성코드 정보를 살펴보면, 해당 악성코드는 2009년부터 광범위하게 발견되기 시작한 AutoIt 스크립트로 컴파일 된 웜(Worm)으로 이동식 저장 매체(USB)를 통해 자가 복제 방식으로 전파가 이루어집니다.

감염된 시스템에서 계정 인증서, 로그인 정보를 기록하여 원격 서버에 전송하는 정보 유출형 악성코드이며, 폴더 모양의 아이콘을 하고 있어 사용자가 폴더로 착각하여 클릭하도록 유도하고 있습니다.

1. MS11-087 : Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점(2639417) - 긴급

■ CVE-2011-3402 : TrueType 글꼴 구문 분석 취약점

이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 이 취약점은 사용자가 특수하게 조작된 문서를 열거나 TrueType 글꼴 파일을 포함하는 악의적인 웹 페이지를 방문할 경우 원격 코드 실행을 허용할 수 있습니다.

2. MS11-088 : Microsoft Office IME(중국어)의 취약점으로 인한 권한 상승 문제점(2652016) - 중요

■ CVE-2011-2010 : Pinyin IME 권한 상승 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office IME(중국어)의 취약점을 해결합니다. 이 취약점은 영향을 받는 중국어 간체용 MSPY(Microsoft Pinyin) IME가 설치된 시스템에서 로그온한 사용자가 특정 동작을 수행할 경우에 권한이 상승되도록 할 수 있습니다. 이 취약점 악용에 성공한 공격자는 커널 모드에서 임의 코드를 실행할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 전체 관리자 권한이 있는 새 계정을 만들 수도 있습니다. Microsoft Pinyin IME 2010 구현만 이 취약점의 영향을 받습니다. 다른 버전의 중국어 간체 IME 및 기타 IME 구현은 영향을 받지 않습니다.

3. MS11-089 : Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2590602) - 중요

■ CVE-2011-1983 : Word 해제 후 사용 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 Word 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

4. MS11-090 : ActiveX 킬(Kill) 비트 누적 보안 업데이트(2618451) - 긴급

■ CVE-2011-3397 : Microsoft Time 원격 코드 실행 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft 소프트웨어의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 Internet Explorer에서 특정 바이너리 동작을 사용하는 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 또한 이 업데이트에는 4개의 타사 ActiveX 컨트롤에 대한 킬(Kill) 비트도 포함되어 있습니다.

5. MS11-091 : Microsoft Publisher의 취약점으로 인한 원격 코드 실행 문제점(2607702) - 중요

■ CVE-2011-3410 : Publisher 범위 초과 배열 인덱스 취약점
■ CVE-2011-3411 : Publisher 잘못된 포인터 취약점
■ CVE-2011-3412 : Publisher 메모리 손상 취약점

이 보안 업데이트는 Microsoft Office의 공개된 취약점 1건과 비공개로 보고된 취약점 3건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 Publisher 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약점을 성공적으로 악용한 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

6. MS11-092 : Windows Media의 취약점으로 인한 원격 코드 실행 문제점(2648048) - 긴급

■ CVE-2011-3401 : Windows Media Player DVR-MS 메모리 손상 취약점

이 보안 업데이트는 Windows Media Player 및 Windows Media Center에서 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 Microsoft Digital Video Recording(.dvr-ms) 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 공격에 성공하려면 사용자가 파일을 열도록 유도해야 하는데 이 보안 업데이트를 설치하면 모든 경우에 사용자가 파일을 열 수 없게 됩니다.

7. MS11-093 : OLE의 취약점으로 인한 원격 코드 실행 문제점(2624667) - 중요

■ CVE-2011-3400 : OLE 속성 취약점

이 보안 업데이트는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에서 비공개적으로 보고된 취약점을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에 대해 중요입니다. Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2는 취약점의 영향을 받지 않습니다.

이 취약점으로 인해 사용자가 특수하게 조작된 OLE 개체를 포함하는 파일을 열 경우 원격 코드가 실행될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

8. MS11-094 : Microsoft PowerPoint의 취약점으로 인한 원격 코드 실행 문제점(2639142) - 중요

■ CVE-2011-3396 : PowerPoint의 안전하지 않은 라이브러리 로드 취약점
■ CVE-2011-3413 : OfficeArt 도형 RCE 취약점

이 보안 업데이트는 Microsoft Office에서발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 PowerPoint 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 이러한 취약점 두 가지 중 하나를 성공적으로 악용한 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

9. MS11-095 : Windows Active Directory의 취약점으로 인한 원격 코드 실행 문제점(2640045) - 중요

■ CVE-2011-3406 : Active Directory 버퍼 오버플로 취약점

이 보안 업데이트는 Active Directory, ADAM(Active Directory Application Mode) 및 AD LDS(Active Directory Lightweight Directory Service)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점은 공격자가 Active Directory 도메인에 로그온하여 특수하게 조작된 응용 프로그램을 실행할 경우 원격 코드가 실행되도록 할 수 있습니다. 이 취약점을 악용하려면 공격자는 먼저 Active Directory 도메인에 로그온하기 위한 자격 증명을 획득해야 합니다.

10. MS11-096 : Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점(2640241) - 중요

■ CVE-2011-3403 : 레코드 메모리 손상 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 Excel 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 의심되는 파일을 열지 못하도록 Office 파일 유효성 검사(OFV)를 설치하고 구성하면 CVE-2011-3403에 설명된 취약점을 악용하는 공격 경로가 차단됩니다.

11. MS11-097 : Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점(2620712) - 중요

■ CVE-2011-3408 : CSRSS 로컬 권한 상승 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 공격자가 영향을 받는 시스템에 로그온하여 무결성이 높은 프로세스에 장치 이벤트 메시지를 보내도록 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점을 인해 권한 상승이 발생할 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

12. MS11-098 : Windows 커널의 취약점으로 인한 권한 상승 문제점(2633171) - 중요

■ CVE-2011-2018 : Windows 커널 예외 처리기 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 이 취약점을 악용하도록 디자인된 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

13. MS11-099 : Internet Explorer 누적 보안 업데이트(2618444) - 중요

■ CVE-2011-1992 : XSS 필터 정보 유출 취약점
■ CVE-2011-2019 : Internet Explorer 안전하지 않은 라이브러리 로드 취약점

이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 3건을 해결합니다. 가장 심각한 취약점은 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 디렉터리에 있는 합법적인 HTML(HyperText Markup Language) 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다.

매월 정기적으로 제공하는 Windows 보안 패치를 반드시 설치하시고 인터넷을 이용하시는 습관을 가지시기 바랍니다.