March, 2010

  • 가트너의 가상화 관련 특별 보고서

    지난 월요일에 발표된 가트너 자료에 의하면, 가상 서버로 구축된 서버 중 60%가 그 전의 물리적 실제 서버보다 더 안전하지 못했다고 합니다. 2015년까지는 이 비율이 30%로 줄어들 것이라고도 덧붙였습니다. 가상 서버가 더 안전하지 못한 경우가 60%를 넘는다는 조사 결과는 주목을 끌 만 합니다. 그런데 이것은 가상화 자체에 보안 문제가 있어서 그런 것이 아니고 현재 가상화로 추진되는 많은 프로젝트들이 최초 설계 단계와 계획 단계에서 정보...
  • 인터넷 익스플로러 보안 업데이트, 내일부터 긴급 배포 예정

    보안 권고 981374 에 대해 포스팅 을 두 번 했었는데, 해당 IE 취약점에 대한 공격이 확대됨에 따라 긴급하게 패치를 제공하기로 결정 했습니다. IE 보안 패치는 한국 시각 기준 내일, 3월 31일(수) 오전 2시 경에 제공될 예정입니다. 이번에 문제가 된 취약점(981374)은 인터넷 익스플로러 6과 7에만 해당되고 인터넷 익스플로러 8은 취약하지 않지만, 여느 달과 마찬가지로 IE는 누적 보안 업데이트 형태로 제공하기 때문에 내일...
  • 인터넷 익스플로러 보안 공지 MS10-018 발표

    어제 포스팅 에서 말씀드린 것처럼, 인터넷 익스플로러 취약점 CVE-2010-0806 에 대한 공격이 증가함에 따라 마이크로소프트는 MS10-018 보안 공지 를 오늘 긴급하게 발표했습니다. 10개나 되는 취약점 중 미리 알려진 것이 바로 공격에 악용되고 있는 것이고 나머지 9개는 비공개적으로 마이크로소프트에 제보된 것이었습니다. CVE-2010-0806 은 인터넷 익스플로러 버전 6과 7에만 해당되어 보안 권고 981374 에서 인터넷...
  • 웹 브라우저와 스마트폰 해킹 대회, Pwn2Own 2010

    쓰리콤 티핑포인트(3Com TippingPoint)에서 10만 달러의 상금을 걸고 웹 브라우저와 스마트폰의 보안 결함을 찾는 경진대회를 개최합니다. 올해로 4회를 맞는 Pwn2Own 컨테스트 인데요, 3월 24일부터 캐나다 밴쿠버에서 열리는 CanSecWest 보안 컨퍼런스의 행사 중 하나입니다. 예년의 경험으로 보면, 이 행사가 열리면 웹 브라우저를 만드는 소프트웨어 회사와 스마트폰 업체들이 취약점 대응에 바빠지고, 언론에도 어느 제품이 몇 분만에...
  • IBM X-Force의 2009 Trend and Risk Report

    IBM X-Force의 2009 Trend and Risk Report 최신호 에 따르면 2009년의 보안 위협을 세 가지로 특징지을 수 있다고 합니다. 문서 읽기/편집 프로그램의 취약점 노출 증가: 주로 마이크로소프트 오피스 문서와 어도비 애크로뱃 PDF 문서인데 PDF의 취약점이 대부분을 차지합니다. 신규 발견되는 악의적 웹 링크의 수가 세계적으로 급속히 증가 피싱 공격도 2009년 하반기에 눈에 띄게 증가 아이뉴스...
  • 보안 권고 981374 - 인터넷 익스플로러 취약점

    인터넷 익스플로러의 새로운 취약점과 관련해 마이크로소프트 보안 권고 981374 를 발표했습니다. IE 6과 7에 있는 취약점으로, IE 8 사용자는 이번 취약점에 노출되지 않습니다. 자바 스크립트 실행시 공격자가 의도한 코드가 실행되는 것으로 사용자는 전혀 모르게 시스템의 모든 권한을 내 줄 수 있습니다. 이 취약점을 악용한 웹 사이트가 이미 있는 것으로 확인했습니다. 패치 발표 일정은 아직 정해지지 않았습니다. 4월 정기 보안 업데이트...
  • 보안 권고 981374 내용 추가

    IE 제로데이 취약점 에 대한 보안 권고 981374 중 대안(Workarounds) 부분에 추가된 내용이 있습니다. iepeers.dll의 ACL을 조정하거나 피어 팩토리 클래스를 끄는 방법입니다. 레지스트리를 직접 편집하는 방법도 있고 이를 자동화해 주는 Fix It 을 다운로드해서 실행하는 방법도 있습니다. 그런데 주의하실 점은 이와 같은 대안을 사용하실 경우 IE에서 인쇄가 되지 않고 웹 폴더 기능도 제한됩니다. 이미 이 취약점을 공격하는...
  • 보안 권고 981169 - VBScript의 도움말 키 취약점

    오늘 오전 마이크로소프트 보안 권고 981169 가 게시되었습니다. VBScript의 취약점에 대한 것인데 취약점 공격 방법이 독특합니다. 트위터를 통해 ���약점이 많이 알려진 사례이기도 합니다. 이 취약점을 악의적으로 사용하는 웹 사이트는 이런 방식으로 공격할 수 있습니다. 사용자가 링크를 클릭하면 다이얼로그 박스를 띄웁니다. MsgBox 함수를 사용합니다. 나타나는 메시지에는 사용자가 F1 키를 누르도록 유도하는 속임수 문구가...
  • 2010년 3월 마이크로소프트 보안 공지 발표

    마이크로소프트는 오늘 (3월 10일), 새로운 보안 공지 2개를 발표했습니다. 둘 다 긴급 아래 단계인 중요 등급입니다. MS10-016 (중요) Windows Movie Maker의 취약점으로 인한 원격 코드 실행 문제점 Windows XP Windows Vista Windows 7 Producer 2003 MS09-017 (중요) Microsoft Office Excel의 취약점으로 인한 원격 코드...
  • 2010년 3월 마이크로소프트 보안 공지 발표 예정

    오는 수요일 (3월 10일, 한국 시각 기준), 마이크로소프트는 신규 보안 공지 2건을 발표할 예정입니다. 신규 보안 공지 보안 공지 1 최대 심각도: 중요 영향: 원격 코드 실행 시스템 재시작: 필요할 수 있음 영향을 받는 제품: Windows XP, Windows Vista, Windows 7 보안 공지 2 최대 심각도: 중요 영향: 원격 코드 실행 시스템 재시작: 필요할 수 있음 영향을 받는 제품: Excel 2002...
  • MS10-015 보안 업데이트 배포 재개

    2월 10일 에 나왔던 MS10-015 커널 보안 업데이트 가 블루 스크린을 일으키는 경우를 조사 중이라고 포스팅 했었는데 이에 대해 추가된 내용이 있습니다. 블루 스크린을 일으키는 원인은 시스템이 루트킷 형식의 악성 코드인 Alureon 에 감염되어 커널을 일부 변경했기 때문이었습니다. 그래서 마이크로소프트는 MS10-015를 설치해도 문제가 없는지 미리 알 수 있는 스캐닝 툴을 만들어 기술 자료 KB 980966 에 공개했습니다. Fix...