본문 바로가기

벌새::Security

Microsoft Internet Explorer 긴급 보안 업데이트 : MS12-063 (2012.9.22)

2012년 9월 14일경 중국(China) 해킹 조직에 의해 Microsoft Internet Explorer 웹 브라우저의 "execCommand Use After Free (CVE-2012-4969)" 제로데이(0-Day) 보안 취약점을 이용한 타켓 공격이 있었던 사실이 밝혀졌습니다.

 

  Microsoft Internet Explorer 제로데이(0-Day) 취약점 : CVE-2012-4969 (2012.9.18)

 

  <nProtect 대응팀 블로그> [긴급]IE 0-Day (CVE-2012-4969) 취약점 공격 국내표적 현실화 (2012.9.21)

 

이에 따라 해당 해당 취약점을 이용하여 국내 웹 사이트(정치, 언론, 교육 등)에서도 동일한 공격이 확인되어 다양한 백도어(Backdoor) 계열 악성코드가 유포되고 있다는 보고가 확인되고 있습니다.

 

  Microsoft Internet Explorer CVE-2012-4969 제로데이(0-Day) 취약점 Fix it (2012.9.20)

 

해당 문제를 해결하기 위하여 9월 20일 마이크로소프트(Microsoft) 업체에서는 임시 해결책을 위한 Fix it 솔루션을 배포하여 공식 패치가 제공되기 이전에 방어할 수 있는 방법을 제공하였습니다. 

그리고 오늘(9월 22일)에는 CVE-2012-4969 제로데이(0-Day) 보안 취약점을 포함한 총 5건의 취약점 문제를 해결한 MS12-063 (KB2744842) 보안 패치를 공식적으로 배포를 시작하였습니다.

 

  MS12-063 : Internet Explorer 누적 보안 업데이트 (2744842) - 긴급

  1. CVE-2012-1529 : OnMove Use After Free 취약점
  2. CVE-2012-2546 : Event Listener Use After Free 취약점
  3. CVE-2012-2548 : Layout Use After Free 취약점
  4. CVE-2012-2557 : cloneNode Use After Free 취약점
  5. CVE-2012-4969 : execCommand Use After Free 취약점

MS12-063 보안 패치를 적용하기 이전에 "Microsoft Fix it 50939" 임시 패치를 사용하신 분들은 반드시 "Microsoft Fix it 50938" 파일을 다운로드하여 임시 패치를 삭제하시고 정식 보안 패치를 설치하시기 바랍니다.

 

(비)정기적으로 제공되는 마이크로소프트(Microsoft) 보안 패치를 설치하지 않은 상태로 인터넷을 이용하실 경우, 악의적으로 조작된 웹 사이트에 접속시 자동으로 감염이 이루어질 수 있습니다.

 

이를 통해 온라인 게임핵, 백도어(Backdoor), 인터넷 뱅킹 계열 악성코드에 감염되어 정보 유출 등 금전적 피해가 유발될 수 있으므로 제공되는 보안 패치는 모두 설치하시고 인터넷을 이용하시기 바랍니다.