2009.07.30 13:29

2009년 7월 30일 (비정기 긴급) 마이크로소프트 보안 공지 발표

2009년 7월 30일 (목)에 긴급히 발표된 마이크로소프트 보안 공지와 보안 권고 발표 내용을 요약하여 제공합니다.

================================================
신규 보안 공지
================================================

마이크로소프트는 새로 발견된 취약점에 대하여 다음과 같이 2개의 신규 보안 공지를 발표합니다.

MS09-034 (긴급) Internet Explorer 5.01, 6, 7, 8 (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008)
MS09-035 (보통) Visual Studio .NET 2003, Visual Studio 2005, Visual Studio 2008, Visual C++ 2005, Visual C++ 2008


================================================
보안 권고 973882
================================================

Microsoft는 Microsoft ATL(액티브 템플릿 라이브러리)의 공개 및 비공개 버전의 취약점에 대해 진행 중인 조사 정보를 제공하기 위해 보안 권고 973882를 발표합니다.
이 보안 권고에서는 개발자가 만드는 컨트롤 및 구성 요소가 ATL 문제에 취약하지 않도록 하기 위한 방법,
IT 전문가 및 소비자가 취약점을 이용하는 잠재적인 공격을 완화할 수 있는 방법, 그리고 Microsoft가 이 보안 권고에 설명된 문제에 대해 지속적으로 조사 중인 내용도 안내합니다.
또한 이 보안 권고에서는 ATL의 취약점과 관련된 모든 Microsoft 보안 공지 및 보안 업데이트의 종합 목록을 제공합니다.
ATL의 공개 및 비공개 버전에 대한 Microsoft의 조사는 진행 중이며, 조사가 진행됨에 따라 적절한 시기에 보안 업데이트 및 지침을 발표할 예정입니다.

Microsoft는 ATL의 공개 및 비공개 버전에 대한 보안 취약점에 대한 보고를 받았습니다.
Microsoft ATL은 소프트웨어 개발자가 Windows 플랫폼용 컨트롤 또는 구성 요소를 만드는 데 사용됩니다.
이 보안 권고 및 Microsoft 보안 공지 MS09-035에 설명된 취약점으로 인해 취약한 버전의 ATL로 만들어진 컨트롤 및 구성 요소에 대한 정보 노출이나 원격 코드 실행 공격 위험이 있습니다.
취약한 버전의 ATL로 만들어진 구성 요소 및 컨트롤은 ATL이 사용되는 방법 또는 ATL 코드 자체의 문제로 인해 취약한 조건에 노출될 수 있습니다.


================================================
참고 자료
================================================

- Microsoft 보안 권고 973882: Microsoft ATL(액티브 템플릿 라이브러리)의 취약점으로 인한 원격 코드 실행 문제점
http://www.microsoft.com/korea/technet/security/advisory/973882.mspx

- Microsoft 보안 공지 MS09-034: Internet Explorer 누적 보안 업데이트 (972260)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-034.mspx

- Microsoft 보안 공지 MS09-035: Visual Studio ATL(액티브 템플릿 라이브러리)의 취약점으로 인한 원격 코드 실행 문제점 (969706)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-035.mspx

- ATL 가이드 (일반 사용자, IT 전문가, 개발자 대상)
http://www.microsoft.com/atl/

- Microsoft 보안 대응 센터 (MSRC) 블로그
http://blogs.technet.com/msrc/

- Microsoft 악성 코드 방지 센터 (MMPC) 블로그
http://blogs.technet.com/mmpc/

- 보안 연구 및 방어팀 블로그
http://blogs.technet.com/srd/


================================================
보안 공지 기술 세부 사항
================================================

아래 영향을 받는 소프트웨어와 영향을 받지 않는 소프트웨어 표에서, 나열되지 않은 소프트웨어는 지원 기간이 지난 제품입니다.
제품과 버전에 대한 지원 기간을 보려면 마이크로소프트 지원 기간 페이지 http://support.microsoft.com/lifecycle/ 를 참고하여 주십시오.

-------------------------------------------------
보안 공지 MS09-034
-------------------------------------------------

제목: Internet Explorer 누적 보안 업데이트 (972260)

요약: 이 보안 업데이트는 취약한 Microsoft ATL(액티브 템플릿 라이브러리) 버전을 사용하여 개발된 구성 요소와 컨트롤의 취약점에 대해 설명하는 Microsoft 보안 공지 MS09-035와 함께 릴리스되었습니다.
심층적인 보안 대응책으로써, 이 Internet Explorer 보안 업데이트는 Microsoft 보안 권고(973882) 및 Microsoft Security Bulletin MS09-035에 설명되어 있는
취약한 버전의 ATL로 개발된 구성 요소와 컨트롤을 이용하는 Internet Explorer의 알려진 공격 방법을 완화할 뿐만 아니라 비공개적으로 보고된 Internet Explorer의 세 가지 취약점을 해결합니다.
이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다.
보안 업데이트는 Internet Explorer에서 메모리 및 테이블 작업시 개체를 처리하는 방식을 수정하여 이러한 취약점을 해결합니다.

최대 심각도 및 영향을 받는 소프트웨어:
- Internet Explorer 5.01, 6 서비스 팩 1 (Windows 2000): 긴급
- Internet Explorer 6, 7, 8 (Windows XP): 긴급
- Internet Explorer 7, 8 (Windows Vista): 긴급
- Internet Explorer 6, 7, 8 (Windows Server 2003): 보통
- Internet Explorer 7, 8 (Windows Server 2008): 보통

취약점:
메모리 손상 취약점 (CVE-2009-1917)
HTML 개체 메모리 손상 취약점 (CVE-2009-1918)
초기화되지 않은 메모리 손상 취약점 (CVE-2009-1919)

취약점으로 인한 영향: 원격 코드 실행

시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.

이번 업데이트로 대체되는 보안 공지: MS09-019

상세 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS09-034.mspx


-------------------------------------------------
보안 공지 MS09-035
-------------------------------------------------

제목: Visual Studio ATL(액티브 템플릿 라이브러리)의 취약점으로 인한 원격 코드 실행 문제점 (969706)

요약: 이 보안 업데이트는 Visual Studio에 포함되어 있는 Microsoft ATL(액티브 템플릿 라이브러리)의 공개 버전에서 비공개적으로 보고된 몇 가지 취약점을 해결합니다.
이 보안 업데이트는 구성 요소와 컨트롤을 개발하는 개발자를 위해 특별히 개발된 것입니다.
ATL을 사용하여 구성 요소와 컨트롤을 만들고 재배포하는 개발자는 이 보안 공지에 제공된 업데이트를 설치하고,
함께 제공된 지침에 따라 이 보안 공지에서 설명하는 취약점을 갖지 않는 구성 요소와 컨트롤을 만들어 자신의 고객에게 배포해야 합니다.
이 보안 공지에서는 사용자가 취약한 버전의 ATL로 작성된 구성 요소나 컨트롤을 로드할 경우 원격 코드가 실행될 수 있는 취약점에 대해 설명합니다.
이 보안 업데이트는 이러한 헤더를 사용해 만들어진 구성 요소와 컨트롤이 데이터 스트림에서 안전하게 초기화할 수 있도록 ATL 헤더를 수정하는 방식으로 취약점을 해결합니다.

최대 심각도 및 영향을 받는 소프트웨어:
- Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005, Microsoft Visual Studio 2008: 보통
- Microsoft Visual C++ 2005 재배포 가능 패키지, Microsoft Visual C++ 2008 재배포 가능 패키지: 보통
* 대부분의 Microsoft 보안 공지에서는 특정 제품의 취약점으로 인한 위험에 대해 설명하지만, 이 보안 공지에서는 ATL을 사용하여 작성된 제품에 존재할 수 있는 취약점에 대해 설명합니다.

취약점:
ATL 초기화되지 않은 개체 취약점 (CVE-2009-0901)
ATL COM 초기화 취약점 (CVE-2009-2493)
ATL Null 문자열 취약점 (CVE-2009-2495)

취약점으로 인한 영향: 원격 코드 실행

시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.

이번 업데이트로 대체되는 보안 공지: 없음

상세 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS09-035.mspx


=================================================
정보의 일관성
=================================================

본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다.
웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다.
이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.


기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

감사합니다.
한국마이크로소프트 고객지원부 보안팀
저작자 표시
신고

Trackback 0 Comment 0