마이크로소프트 보안 권고 980088이 오늘 발표되었습니다. IE에서 정보가 유출될 수 있는 취약점이 BlackHat Federal 행사에서 공개되었기 때문입니다.

새로 공개된 취약점에 해당되는 제품은 운영 체제(OS) 기준으로 볼 때 이렇습니다.

  • 윈도우 2000
  • 윈도우 XP
  • 윈도우 서버 2003
  • 윈도우 비스타 - IE 보호 모드를 사용하지 않는 경우만 공격 가능
  • 윈도우 서버 2008 - IE 보호 모드를 사용하지 않는 경우만 공격 가능
  • 윈도우 7 - IE 보호 모드를 사용하지 않는 경우만 공격 가능

달리 말하면 IE 보호 모드가 지원되는 운영 체제에서는 이 기능을 켜 둘 경우 공격으로부터 안전할 수 있다는 의미입니다. IE 보호 모드 기능이 없는 윈도우 XP에서는 IE 네트워크 프로토콜 잠금을 사용하는 것이 예방 방법입니다. 레지스트리 설정을 수동으로 바꿔도 되고 Fix It을 실행해 자동으로 설정해도 됩니다.

IE를 기준으로 보면 5,6,7,8 즉 모든 버전이 이 취약점을 갖고 있습니다.

원격으로 코드를 실행할 수 있는 취약점이 아니라 정보가 유출될 수 있는 취약점이란 점이 지난 1월의 MS10-002와 크게 다른 점입니다.

아직 보안 패치(보안 업데이트)가 없으며 언제 나올 지 정해지지 않은 상태입니다. 관련된 소식이 생기면 본 블로그에 다시 업데이트하겠습니다.