마이크로소프트(Microsoft) 업체에서 Windows Update 기능을 통해 매월 정기적으로 제공하는 2014년 12월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft Exchange 제품군에서 발견된 25건의 보안 취약점에 대한 7개의 보안 패치가 포함되어 있습니다.
■ 주요 보안 업데이트 이슈 정리
이번 업데이트에서는 2014년 11월 정기 보안 업데이트에서 제외되었던 Microsoft Exchange Server의 취약성으로 인한 권한 상승 문제를 해결한 MS14-075 보안 패치가 공식적으로 이루어졌습니다.
또한 2014년 11월 정기 보안 업데이트에서 이루어진 2건의 기존 보안 패치에서 발견된 문제를 수정한 패치가 재배포 되었습니다.
(1) MS14-065 : Internet Explorer 용 누적 보안 업데이트 (3003057) - 긴급
Internet Explorer 메모리 손상 취약점(CVE-2014-6353)에 대한 수정된 보안 패치가 포함되어 있습니다.
(2) MS14-066 : Schannel의 취약점으로 인한 원격 코드 실행 문제점(2992611) - 긴급
Windows Vista, Windows Server 2008 운영 체제를 대상으로 한 업데이트가 수정되었습니다.
■ Windows 8, Windows 8.1 운영 체제를 위한 Adobe Flash Player 플러그인 업데이트 정보
Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전 웹 브라우저에 자체 내장된 Adobe Flash Player 플러그인에서 발견된 6건의 보안 취약점에 대해 "Adobe Flash Player 15.0.0.239 버전 → Adobe Flash Player 16.0.0.235 버전"으로 Windows Update 기능을 통해 KB3008925 보안 패치가 이루어졌습니다.
■ 2014년 12월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830
2014년 12월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 새로운 진단은 포함되어 있지 않으며, 기존에 추가된 악성코드에 대한 진단 및 치료 기능을 업데이트 하였습니다.
■ 2014년 12월 Microsoft 정기 보안 업데이트 세부 정보
1. MS14-075 : Microsoft Exchange Server의 취약성으로 인한 권한 상승 문제(3009712) - 중요
- CVE-2014-6319 : Outlook Web App 토큰 스푸핑 취약성
- CVE-2014-6325, CVE-2014-6326 : OWA XSS 취약성
- CVE-2014-6336 : Exchange URL 리디렉션 취약성
이 보안 업데이트는 Microsoft Exchange Server에서 발견되어 비공개적으로 보고된 취약성 4건을 해결합니다. 이 중에서 가장 심각한 취약성으로 인해 사용자가 특수 제작된 URL을 클릭하여 대상 Outlook Web App 사이트로 유인되는 경우 권한 상승 문제가 발생할 수 있습니다. 공격자는 강제로 사용자가 특수 제작된 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하고 특수 제작된 URL을 클릭하도록 유도하는 것이 일반적입니다.
2. MS14-080 : Internet Explorer용 누적 보안 업데이트(3008923) - 긴급
- CVE-2014-6327, CVE-2014-6329, CVE-2014-6330, CVE-2014-6366, CVE-2014-6369, CVE-2014-6373, CVE-2014-6374, CVE-2014-6375, CVE-2014-6376, CVE-2014-8966 : Internet Explorer 메모리 손상 취약성
- CVE-2014-6328, CVE-2014-6365 : Internet Explorer XSS 필터 우회 취약성
- CVE-2014-6363 : VBScript 메모리 손상 취약성
- CVE-2014-6368 : Internet Explorer ASLR 우회 취약성
이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약성 14건을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.
3. MS14-081 : Microsoft Word 및 Microsoft Office Web Apps의 취약성으로 인한 원격 코드 실행 문제(3017301) - 긴급
- CVE-2014-6356 : 잘못된 인덱스 원격 코드 실행 취약성
- CVE-2014-6357 : Word 원격 코드 실행 해제 후 사용 취약성
이 보안 업데이트는 Microsoft Word 및 Microsoft Office Web Apps의 비공개적으로 보고된 취약성 2건을 해결합니다. 공격자가 사용자에게 특수 제작된 Microsoft Word 파일을 영향받는 버전의 Microsoft Office 소프트웨어에서 열거나 미리 보도록 유도할 경우 이러한 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성을 악용한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
4. MS14-082 : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3017349) - 중요
- CVE-2014-6364 : Microsoft Office 구성 요소 해제 후 사용 취약성
이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약성을 해결합니다. 이 취약성으로 인해 영향을 받는 Microsoft Office 버전에서 특수 제작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약성을 성공적으로 악용한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.
5. MS14-083 : Microsoft Excel의 취약성으로 인한 원격 코드 실행 문제(3017347) - 중요
- CVE-2014-6360 : Excel의 원격 코드 실행 글로벌 해제 취약성
- CVE-2014-6361 : Excel의 잘못된 포인터 원격 코드 실행 취약성
이 보안 업데이트는 Microsoft Excel에서 발견되어 비공개적으로 보고된 취약성 2건을 해결합니다. 공격자가 사용자에게 특수 제작된 Microsoft Excel 파일을 영향받는 버전의 Microsoft Office 소프트웨어에서 열거나 미리 보도록 유도할 경우 이러한 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성을 악용한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
6. MS14-084 : VBScript 스크립팅 엔진의 취약성으로 인한 원격 코드 실행 문제(3016711) - 긴급
- CVE-2014-6363 : VBScript 메모리 손상 취약성
이 보안 업데이트는 Microsoft Windows의 VBScript 스크립팅 엔진에서 비공개적으로 보고된 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약성을 성공적으로 악용한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.
7. MS14-085 : Microsoft 그래픽 구성 요소의 취약성으로 인한 정보 유출 문제(3013126) - 중요
- CVE-2014-6355 : 그래픽 구성 요소 정보 유출 취약성
이 보안 업데이트는 Microsoft Windows의 공개적으로 보고된 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 JPEG 콘텐츠가 포함된 웹 사이트로 이동할 경우 정보가 공개될 수 있습니다. 공격자는 이 정보 유출 취약성을 이용하여 시스템에 대한 정보를 얻은 후 해당 시스템을 손상시키기 위해 다른 공격과 이 정보를 결합할 수 있습니다. 이 정보 유출 취약성만으로는 임의의 코드 실행이 허용되지 않지만 공격자는 다른 취약성과 함께 이 정보 유출 취약성을 이용하여 ASLR(Address Space Layout Randomization)과 같은 보안 기능을 우회할 수 있습니다.
■ Windows 안정성 업데이트 세부 정보
(1) Microsoft Silverlight 업데이트(KB3011970) : Microsoft Silverlight 제품의 안정성, 성능이 개선되었습니다.(※ Microsoft Silverlight 5.1.30514.0 버전 → Microsoft Silverlight 5.1.31010.0 버전)
해당 업데이트를 통해 Windows 8, Windows 8.1 운영 체제에서 Internet Explorer 웹 브라우저를 이용하여 Microsoft PlayReady Digital Rights Management(DRM) 콘텐츠 재생시 Enhanced Protected Mode(EPM)로 동작하도록 변경되었습니다.
또한 Windows XP, Windows Server 2003 운영 체제에서는 해당 업데이트가 이루어지지 않습니다.
(2) Windows 7용 업데이트(KB3004394) : December 2014 update for Windows Root Certificate Program in Windows
Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7, Windows Server 2008 R2 운영 체제의 Windows 루트 인증서 프로그램이 업데이트 되었습니다.
(3) Windows 7용 업데이트(KB3006121) : Private EDUCs are not displayed in Character Map after you apply update 2982791 in Windows 7 or Windows Server 2008 R2
Windows 7 Service Pack 1 (SP1), Windows Server 2008 R2 SP1 운영 체제에서 KB2982791 보안 업데이트(MS14-045)가 이루어진 후 문자표의 사용자 정의 문자(Private EDUCs)가 표시되지 않는 문제를 해결하였습니다.
(4) Windows 7용 업데이트(KB3006625) : A domain controller freezes when an event subscription manager list is long in Windows 7 and Windows Server 2008 R2
Windows 7 Service Pack 1 (SP1), Windows Server 2008 R2 SP1 운영 체제에서 이벤트 예약 관리자 목록에 30개 이상의 그룹 정책 오브젝트(GPOs : Group Policy Objects)를 사용할 경우 호스트 네트워크 서비스를 담당하는 svchost.exe 프로세스가 얼어버리는 문제를 해결하였습니다.
(5) Windows 7용 업데이트(KB3009736) : MP4 file cannot be played on a non-Windows-based device if it was created in Windows 7 or Windows Server 2008 R2
Windows 7 Service Pack 1 (SP1), Windows Server 2008 R2 SP1 운영 체제에서 생성된 429초보다 긴 MP4 파일을 Windows 운영 체제가 아닌 기기에서 재생하지 못하는 문제를 해결하였습니다.
(6) Windows 7용 업데이트(KB3013410) : December 2014 cumulative time zone update for Windows operating systems
DST(일광 절약 시간제)에 따른 Windows 운영 체제의 2014년 12월 표준 시간대 업데이트가 이루어졌습니다.
(7) Windows 7용 업데이트(KB3014406) : Startup delay occurs after you disable IPv6 in Windows 7 SP1 or Windows Server 2008 R2 SP1
Windows 7 Service Pack 1 (SP1), Windows Server 2008 R2 SP1 운영 체제에서 IPv6 인터넷 프로토콜을 비활성화한 경우 Windows 시작시 5초 가량 늦어지는 문제를 해결하였습니다.
그러므로 모든 Windows 운영 체제 사용자는 Windows Update 기능을 통해 정기적으로 제공되는 보안 패치를 반드시 설치하여 취약점(Exploit)을 이용한 악성코드 및 정보 유출로부터 시스템을 보호하시기 바랍니다.