Browse by Tags

Related Posts
  • Blog Post: 보안 권고 979267 - 어도비 플래시 플레이어 6

    이번 주 마이크로소프트가 발표한 보안 권고 979267 은 어도비의 플래시 플레이어 버전 6에 대한 것입니다. 플래시 플레이어에 대한 보안 업데이트는 어도비에서 배포하는데도 마이크로소프트에서 이 보안 권고를 낸 이유는 윈도우 XP에 탑재된 IE에는 플래시 플레이어도 기본적으로 포함하고 있었기 때문입니다. 따라서 본 보안 권고에서는 윈도우 XP에 있는 플래시 플레이어 6의 보안 위험성에 대해서만 설명하고 있습니다. 사용자 여러분께 권장드리는 방법은 플래시 플레이어를 최신 버전으로 업그레이드 하는 것입니다. 지금 배포되는 버전은 10...
  • Blog Post: 보안 권고 979352 - 인터넷 익스플로러 제로데이 취약점

    마이크로소프트 보안 대응 센터(MSRC)는 오늘 인터넷 익스플로러(IE)의 다양한 버전에 존재하는 제로데이 취약점에 대해 발표 했습니다. 보안 권고 979352 가 이를 설명하고 있는데, IE 6,7,8 버전이 이번 취약점에 노출되어 있습니다. 이번 취약점은 IE에서 취약점이 존재하는 페이지를 열기만 하면 공격자가 의도한 코드가 실행될 수 있는 것으로 가장 심각한 단계인 ‘긴급’ 등급에 ‘원격 코드 실행’으로 분류될 만한 취약점입니다. 웹 사용자가 별다른 추가 동작 없이 페이지만 열었는데 시스템 권한까지 뺏길 수 있다는 점에서...
  • Blog Post: 인터넷 익스플로러 긴급 보안 공지 발표

    오늘, 2010년 1월 22일 (금)에 긴급히 발표된 마이크로소프트 보안 공지 건입니다. 보안 공지 MS10-002 - Internet Explorer 누적 보안 업데이트 (978207) 이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 7건과 공개된 취약점 1건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 보안 업데이트는 Internet Explorer에서 메모리의...
  • Blog Post: 인터넷 익스플로러 보안 업데이트, 내일부터 긴급 배포 예정

    보안 권고 981374 에 대해 포스팅 을 두 번 했었는데, 해당 IE 취약점에 대한 공격이 확대됨에 따라 긴급하게 패치를 제공하기로 결정 했습니다. IE 보안 패치는 한국 시각 기준 내일, 3월 31일(수) 오전 2시 경에 제공될 예정입니다. 이번에 문제가 된 취약점(981374)은 인터넷 익스플로러 6과 7에만 해당되고 인터넷 익스플로러 8은 취약하지 않지만, 여느 달과 마찬가지로 IE는 누적 보안 업데이트 형태로 제공하기 때문에 내일 나오는 보안 공지는 IE 5, 6, 7, 8 모든 버전용으로 나옵니다. 즉 지난 몇 개월간...
  • Blog Post: IE 취약점 패치, 긴급히 발표 예정

    인터넷 익스플로러 (IE) 버전 6, 7, 8의 제로데이 취약점, 즉 보안 권고 979352 에 대해 지난 주 포스팅 을 했었는데 그 뒤로 소식이 많이 있었습니다. 언론에서는 주로 독일과 프랑스 정부에서 보안을 이유로 IE 사용을 자제해 달라고 권고한 점에 초점을 뒀습니다. 그리고 구글과 중국의 미묘한 다툼의 원인에 이번 취약점이 관련돼 있다는 것도 관심을 끌었구요. 지금으로서는 IE 6를 IE 8로 업그레이드하는 것이 가장 쓸만한 대안이고 컴퓨터 하드웨어가 DEP 기능을 지원하는 경우 IE의 DEP을 켜는 것이 좋은 방법입니다...
  • Blog Post: 2010년 6월 마이크로소프트 보안 공지 발표

    오늘 (6월 9일) 마이크로소프트는 10개의 보안 공지를 발표했습니다. MS10-032 (중요) Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (979559) - Windows MS10-033 (긴급) 미디어 압축 해제의 취약점으로 인한 원격 코드 실행 문제점 (979902) - Windows MS10-034 (긴급) ActiveX 킬(Kill) 비트 누적 보안 업데이트 (980195) - Windows MS10-035 (긴급) Internet Explorer 누적 보안 업데이트 (982381...
  • Blog Post: 인터넷 익스플로러 보안 패치, 긴급히 제공 예정

    어제 포스팅 에서 인터넷 익스플로러 취약점의 패치가 긴급하게 나올 것이라고 말씀드렸습니다. 그 시간은 한국 기준으로 내일(22일, 금) 오전 3시로 정해졌습니다. 이제 10시간이 채 남지 않았네요. 엄격한 규칙으로 정해진 것은 아니지만 마이크로소프트는 짝수 달의 정기 보안 공지일에 “인터넷 익스플로러 누적 보안 업데이트”를 제공해 왔습니다. 다른 보안 패치와 달리, IE 보안 패치는 누적 업데이트 형태로 만들어지고 2, 4, 6, 8, 10, 12월에 나오는 형식입니다. 누적 업데이트란, IE 관련해서는 그간의 보안 개선 사항을...
  • Blog Post: 마이크로소프트 보안 권고 977981 - IE 제로데이 취약점

    Internet Explorer 6과 7에서 원격 코드가 실행될 수 있는 제로데이 취약점이 확인되었습니다. 현재로서는 이를 공격하는 실제 코드는 없는 것으로 확인되었지만 상황은 언제든지 악화될 수 있으니 주의가 필요합니다. Internet Explorer 8은 이번 문제에 영향을 받지 않습니다. 자세한 내용은 Security Advisory 977981 에서 보실 수 있습니다. 지금은 영어로만 내용이 제공되며 한국어 설명 문서는 하루나 이틀 정도 후에 제공될 예정임을 양해해 주십시오. 상황이 달라지면 위 보안 권고(Security Advisory...
  • Blog Post: 어도비 리더, 샌드박스 모델 도입 예정

    컴퓨터월드의 보도 에 따르면, 우리가 흔히 애크로뱃 리더라고 부르는 어도비의 Reader가 취약점 공격의 영향을 최소화하기 위해 다음 버전부터 샌드박스 모델을 도입할 예정이라고 합니다. 작년 경부터 PDF 파일을 이용한 보안 침해사고가 계속 증가하고 있는데 환영할 만한 일이라 생각합니다. 버전 10부터 도입될 예정이고 이 버전은 올해 내로 발표될 예정이지만 더 정확한 일정은 알려지지 않았습니다. 위 기사에서 보시는 것처럼 마이크로소프트도 인터넷 익스플로러 7부터 ‘보호 모드’라는 이름으로 일종의 샌드박싱을...
  • Blog Post: 인터넷 익스플로러 보안 공지 MS10-018 발표

    어제 포스팅 에서 말씀드린 것처럼, 인터넷 익스플로러 취약점 CVE-2010-0806 에 대한 공격이 증가함에 따라 마이크로소프트는 MS10-018 보안 공지 를 오늘 긴급하게 발표했습니다. 10개나 되는 취약점 중 미리 알려진 것이 바로 공격에 악용되고 있는 것이고 나머지 9개는 비공개적으로 마이크로소프트에 제보된 것이었습니다. CVE-2010-0806 은 인터넷 익스플로러 버전 6과 7에만 해당되어 보안 권고 981374 에서 인터넷 익스플로러 8은 안전한 것으로 언급했습니다. 하지만 이번 업데이트는 누적 업데이트이고...
  • Blog Post: 보안 권고 2458511 - 인터넷 익스플로러

    오늘 마이크로소프트는 보안 권고 2458511 을 통해 인터넷 익스플로러(IE)의 CSS 제로데이 취약점에 대해 발표했습니다. IE 버전 6, 7, 8에 있는 취약점으로, 윈도우 XP의 IE 6과 7의 경우 이미 공격이 발생하는 것이 보고되고 있습니다. IE 8에서는 DEP가 기본으로 켜 있기 때문에 공격이 발생할 가능성이 적습니다. IE 9 베타 버전에는 이번 취약점이 존재하지 않습니다. 이번 문제는 마이크로소프트가 보안 패치를 제공해야 근본적으로 해결할 수 있는 문제이지만 아직 패치 일정은 확정되지 않았습니다. 그 전까지는...
  • Blog Post: IE8, 클릭재킹 방지 기능

    이번 주부터 인터넷 익스플로러 8 (IE8)의 공식 출시 전 최종 후보 버전이라고 할 수 있는 RC1 버전이 공개됐습니다. RC란 Release Candidate의 약어입니다. IE8의 RC1 버전은 Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008에 설치할 수 있습니다. (현재 베타 단계인 Windows 7용으로는 RC1이 나오지 않았습니다.) 누구든지 RC1을 다운로드 해서 설치해 볼 수 있습니다. XP와 Vista의 32비트용으로는 한국어 버전도 제공됩니다...
  • Blog Post: 보안은 물론, 웹 표준 준수와 편의성도 껑충 뛴 IE8 정식 버전

    오늘 새벽에 인터넷 익스플로러 8 (Internet Explorer 8, IE8)의 정식 버전이 출시되어 전세계에서 동시에 다운로드 가능하게 되었습니다. IE8의 가장 큰 특징은 ‘웹 표준 준수’라고 알려진 CSS 2.1의 렌더링 규약을 충실히 지킨다는 것, 액셀러레이터와 웹슬라이스 같은 편의 기능 추가 등인데 보안을 하는 분들께선 다른 것을 더 궁금해 하십니다. ActiveX는 여전히 계속 쓸 수 있는가? 대답은 ‘그렇습니다.’ 마이크로소프트가 ActiveX의 사용을 권장하지는 않지만 IE8에서도 여전히 사용은 가능합니다...
  • Blog Post: 인터넷 익스플로러 7 공격 코드 출현 → 얼른 패치 설치하세요

    지난 주 수요일(2월 11일)에 발표된 마이크로소프트 보안 공지 4개 중, MS09-002 인터넷 익스플로러 취약점 에 대한 공격 코드가 인터넷에서 감지되고 있습니다. 언론에서도 보도 되기 시작했습니다. 보통 인터넷 익스플로러의 경우 누적 패치 형태로 나옵니다. 즉 이제까지 나온 IE 취약점은 가장 최근에 나온 보안 패치 하나만 설치함으로써 예방이 가능하다는 겁니다. 좀 특이하게 이번 달에 나온 보안 공지 MS09-002는 인터넷 익스플로러 7에만 해당됩니다. 윈도우 XP, 윈도우 비스타, 그리고 윈도우 서버 2003과 2008에서...
  • Blog Post: 2010년 1월 (비정기 긴급) 마이크로소프트 보안 공지 발표 예정

    한국 시각 2010년 1월 22일 (금), 마이크로소프트는 신규 보안 공지 1건을 긴급하게 발표할 예정입니다. 최근 인터넷 익스플로러 6를 사용하는 고객 일부에 대해 정밀하게 공격했던 취약점과, 현재로서 공격의 징후는 없지만 심각도가 높은 다른 취약점들에 대해 문제를 해결하는 보안 공지입니다. 공식적인 마이크로소프트 보안 공지 번호는 발표 전까지 나오지 않습니다. 공지가 나올 때에는 정확한 마이크로소프트 보안 공지 번호로 대체됩니다. 보안 공지 Internet Explorer 최대 심각도: 긴급 영향: 원격 코드 실행...
  • Blog Post: 보안 권고 981374 내용 추가

    IE 제로데이 취약점 에 대한 보안 권고 981374 중 대안(Workarounds) 부분에 추가된 내용이 있습니다. iepeers.dll의 ACL을 조정하거나 피어 팩토리 클래스를 끄는 방법입니다. 레지스트리를 직접 편집하는 방법도 있고 이를 자동화해 주는 Fix It 을 다운로드해서 실행하는 방법도 있습니다. 그런데 주의하실 점은 이와 같은 대안을 사용하실 경우 IE에서 인쇄가 되지 않고 웹 폴더 기능도 제한됩니다. 이미 이 취약점을 공격하는 사이트들이 늘어나고 있고 악성 코드도 나오는 상황에서, IE의 기능이 제한되더라도...
  • Blog Post: IE6에 MS09-014 적용 후 장애 발생할 수 있음

    4월 15일부터 배포된 마이크로소프트 4월 정기 보안 업데이트 중 MS09-014 (963027) 를 설치한 인터넷 익스플로러 6에서 웹 사이트 접속시 장애가 발견되었습니다. 금융 기관과 공공 기관을 포함해 상당수의 고객사에서 유사한 증상을 문의했습니다. 외국에서는 아직 문제가 접수된 것이 없는 것으로 집계됐습니다. 인터넷 익스플로러 7과 8에서는 현재 최신 패치 버전에서 동일한 문제가 생기지 않는 것으로 확인했습니다. 마이크로소프트는 문제 원인을 파악했는데, 이는 보안 패치의 결함이 아니기 때문에 보안 패치를 수정하지는...
  • Blog Post: 인터넷 익스플로러 9 베타와 보안

    많은 언론과 블로그에서 이미 보셨겠지만 지난 주 목요일, 즉 9월 16일에 인터넷 익스플로러 9 (IE9) 베타 버전이 공개되었습니다. 주로 HTML5 표준 준수, 자바스크립트 엔진 향상, 하드웨어 가속 활용, 사용자를 고려한 인터페이스 변경 등을 위주로 개선된 기능이 많습니다. 제 관심사는 보안과 개인정보 보호 관련한 새로운 기능인데 IE9 베타를 통해 밝혀진 것을 보면 보안 관련한 개선이 그리 큰 비중을 차지하지는 않습니다. 직접 설치해 보시는 게 아무래도 가장 빠른 확인 방법일 겁니다. IE9 베타 다운로드 페이지 에서...
  • Blog Post: 보안 권고 980088 - IE의 새로운 취약점

    마이크로소프트 보안 권고 980088 이 오늘 발표되었습니다. IE에서 정보가 유출될 수 있는 취약점이 BlackHat Federal 행사에서 공개되었기 때문입니다. 새로 공개된 취약점에 해당되는 제품은 운영 체제(OS) 기준으로 볼 때 이렇습니다. 윈도우 2000 윈도우 XP 윈도우 서버 2003 윈도우 비스타 - IE 보호 모드를 사용하지 않는 경우만 공격 가능 윈도우 서버 2008 - IE 보호 모드를 사용하지 않는 경우만 공격 가능 윈도우 7 - IE 보호 모드를 사용하지 않는 경우만...
  • Blog Post: 웹 브라우저와 스마트폰 해킹 대회, Pwn2Own 2010

    쓰리콤 티핑포인트(3Com TippingPoint)에서 10만 달러의 상금을 걸고 웹 브라우저와 스마트폰의 보안 결함을 찾는 경진대회를 개최합니다. 올해로 4회를 맞는 Pwn2Own 컨테스트 인데요, 3월 24일부터 캐나다 밴쿠버에서 열리는 CanSecWest 보안 컨퍼런스의 행사 중 하나입니다. 예년의 경험으로 보면, 이 행사가 열리면 웹 브라우저를 만드는 소프트웨어 회사와 스마트폰 업체들이 취약점 대응에 바빠지고, 언론에도 어느 제품이 몇 분만에 뚫렸다고 기사가 나오곤 했습니다. pwn2own이라는 행사 제목이 말해주듯이 해킹에...
  • Blog Post: 악의적 웹 사이트에 대한 통계 – AVG 연구 자료

    인터넷 보안 소프트웨어 업체인 AVG 테크놀러지에서 최근 발표한 보도자료 에 따르면, 악의적 코드가 들어있는 웹 사이트가 하루에 평균 20-30만개 씩 새로 만들어진다고 합니다. 게다가 이 숫자도 계속 늘어나는 추세이고요. 원문에는 ‘unique new infective sites’라고 표현했는데 새로운 도메인의 숫자인지, 새로운 페이지의 숫자인지는 명확하지 않네요. 이 어마어마한 숫자 중 70% 정도는 원래 정상적인 (안전해야 할) 사이트가 해킹 공격을 당해 페이지가 변조된 것이고 나머지는 본래 악의적으로 만들어진 것입니다. 코덱으로...