오늘 새벽, ASP.NET 취약점에 대한 보안 패치가 긴급하게 발표됐습니다. 보안 공지 MS10-070이며 이 전까지는 보안 권고 2416728를 통해 알려드렸던 취약점입니다. 이 보안 업데이트는 ASP.NET에서 공개된 취약점 1개를 해결합니다. 이 취약점으로 인해 정보가 유출될 수 있습니다. 이 취약점 악용에 성공한 공격자는 서버가 암호화한 view state와 같은 데이터를 읽을 수 있습니다. 직접 원격 코드를 실행하게 할 수 있는 취약점은 아니지만 추후 시스템에 손상을 입힐 수 있는 공격에 쓰일 수 있습니다. .NET 프레임워크 3.5 서비스 팩 1 이상의 버전에서는 web.config를 포함해 ASP.NET 애플리케이션 내의 어떤 파일이든 공격자가 가져갈 수 있는 취약점이기도 합니다.

보안 공지 문서에서 .NET 프레임워크 1.1, 2.0, 3.5, 4.0 등을 윈도우 제품 버전에 따라 확인하고 패치를 설치하시면 됩니다. 현재 지원되고 있는 모든 윈도우 버전에 패치가 필요합니다. ASP.NET을 사용하는 분께서는 긴급하게 설치해 주시길 당부드립니다.

현재 자동 업데이트, 윈도우 업데이트, 마이크로소프트 업데이트를 통해서는 패치가 배포되지 않고 있으며 오로지 다운로드 센터에서 수동으로 다운로드하는 것만 진행되고 있습니다. 긴급하게 배포하기는 하지만 혼란을 최소화하고 혹시나 발생할 수 있는 호환성 문제를 줄이기 위한 방편입니다. 자동 업데이트 배포 개시일은 아직 정확하게 정해지지 않았습니다.

이미 대안(workaround)을 적용하신 분께서는 변경하신 내용을 다시 원상 복구할 필요는 없습니다. 그대로 두고 패치를 적용해도 되고 원상복구한 후 적용해도 됩니다.

보안 공지 문서는 긴급히 나온 관계로 아직 한글화된 페이지가 없습니다. 당분간 영어 문서를 참고해 주십사 하는 송구스런 부탁을 드립니다.