Internet Explorer 취약점에 대한 마이크로소프트 긴급 보안 공지(부정기) MS14-021 발표

  • Article

금일 마이크로소프트는 보안 권고 2963983에서 처음 기술했던 Internet Explorer 취약점에 대한 긴급 보안 공지(부정기)를 발표합니다.

신규 보안 공지 [MS14-021 - Internet Explorer 보안 업데이트 (2965111)]은 영향을 받는 모든 브라우저에 대한 보안 업데이트를 제공하며 충분한 테스트를 진행하였습니다.

자동 업데이트를 사용하는 경우, 별다른 조치 없이도 MS14-021(2965111)는 자동으로 다운로드 및 설치가 됩니다.(참고로, 자동 업데이트는 기본적으로 사용됩니다.)
만일 자동 업데이트를 사용하지 않는 경우에는, Windows Update(WU) 또는 Microsoft Update(MU)를 통하여 가능한 빨리 이번 업데이트를 수동으로 설치하시기를 적극 권장합니다.

MS14-021(2965111)은 이전에 발표된 Internet Explorer 누적 보안 업데이트를 포함하지 않습니다. 이 업데이트를 설치하기 전에 최신의 Internet Explorer 누적 보안 업데이트를 설치하시기 바랍니다.
최신의 IE 누적 보안 업데이트가 설치되지 않은 경우 MS14-021 설치 후 호환성 문제가 발생할 수 있습니다. 각 환경 별 최신 IE 누적 보안 업데이트에 대한 정보는 MS14-021의 업데이트 FAQ를 확인해 주십시오.

마이크로소프트는 이번 취약점에 대해서는 Windows XP 에 대한 보안 업데이트도 제공하기로 결정하였습니다.
그러나, Windows XP 는 제품 지원 기간이 만료되어 더 이상 지원되지 않으므로 최신의 OS 인 Windows 7 또는 Windows 8.1 로 업그레이드 하시기를 권고합니다. 또한 최신의 Internet Explorer 11을 업그레이드할 것을 권고합니다.

2014년 5월 1일(태평양시 기준) 발표된 부정기 보안 업데이트 MS14-021에 대한 내용을 아래와 같이 요약합니다.

============================
신규 보안 공지
============================
MS14-021(긴급) Internet Explorer 보안 업데이트 (2965111) - Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, Internet Explorer 11
 
==================================
보안 공지 MS14-021
==================================
제목: Internet Explorer 보안 업데이트 (2965111)

요약: 이 보안 업데이트는 Internet Explorer에 대하여 공개적으로 발견된 취약점을 해결합니다.
이 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다.
보안 업데이트는 Internet Explorer가 메모리에서 개체를 처리하는 방식을 수정하여 취약점을 해결합니다.

이 보안 업데이트는 보안 권고 2963983에서 처음 기술했던 취약점을 해결합니다.

최대 심각도: 긴급

영향을 받는 소프트웨어:
- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
(아래 링크에서 영향을 받는 소프트웨어와 다운로드 위치를 확인하십시오)

공격 요소:
 • 웹을 통한 공격의 경우 공격자는 호스팅하는 웹 사이트에 이 취약점을 악용하는 웹 페이지를 포함할 수 있습니다.
 • 공격자는 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트를 이용할 수도 있으며 이러한 웹 사이트에 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함될 수 있습니다.
 • 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

완화 요소:
 • 웹 기반 공격의 경우 공격자는 Internet Explorer를 통해 이 취약점을 악용하도록 설계하여 특수하게 조작된 웹 사이트를 호스팅한 다음 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 공격자는 사용자가 제공한 콘텐츠가 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트를 이용할 수도 있습니다. 이러한 웹 사이트에 이 취약점을 악용하는 특수하게 조작된 콘텐츠가 포함될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 공격자 제어 콘텐츠를 보도록 만들 수는 없습니다. 대신 공격자는 사용자가 공격자의 웹 사이트에 연결되는 전자 메일 메시지나 메신저 메시지에서 링크를 클릭하게 하거나 전자 메일을 통해 보낸 첨부 파일을 열도록 하는 등의 조치를 취하도록 유도해야 합니다.
 • 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
 • 기본적으로 지원 대상인 모든 Microsoft Outlook, Microsoft Outlook Express 및 Windows Mail 버전은 제한된 사이트 영역에서 HTML 메일 메시지를 엽니다. 스크립트 및 ActiveX 컨트롤을 비활성화하는 제한된 사이트 영역은 공격자가 이 취약점을 악용하여 악성 코드를 실행하는 위험을 줄이는 데 도움이 됩니다. 하지만 사용자가 전자 메일 메시지에 포함된 링크를 클릭하면 웹 기반 공격 시나리오를 통해 이 취약점 악용에 취약해질 수 있습니다.
 • 기본적으로 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 및 Windows Server 2012 R2의 Internet Explorer는 보안 강화 구성으로 알려진 제한된 모드로 실행됩니다. 이 모드는 이러한 취약점을 완화합니다.

취약점: Internet Explorer 메모리 손상 취약점 (CVE-2014-1776)

취약점으로 인한 영향:  원격 코드 실행

시스템 재시작: 필요함

업데이트 FAQ 요약:
 Q. MS14-021은 Internet Explorer 누적 보안 업데이트 입니까?
 A. 아닙니다. 이번 업데이트 IE 보안 취약점 CVE-2014-1776에 대해서만 해결된 보안 업데이트입니다.

 Q. 최신의 Internet Explorer 누적 보안 업데이트를 설치해야 합니까?
 A. 예. MS14-021은 IE누적 보안 업데이트를 포함하지 않으므로, 이전에 발표된 최신 버전의 IE 누적 보안 업데이트를 설치해야 합니다. 자동 업데이트를 사용할 경우 추가 조치 없이 모두 설치됩니다. 수동으로 업데이트 설치할 경우, 아래의 환경 별 최신 IE 누적 보안 업데이트를 확인하시고 각 환경에 맞는 최신 IE누적 보안 업데이트를 적용하시기 바랍니다.
     • 지원되는 모든 Windows용 IE6, IE7, IE8, IE9, IE10 : MS14-018(2950467)
     • Windows 7 및 Windows Server 2008 R2용 IE11 :  2964444 업데이트는 MS14-012(2925418), 2964358 업데이트는 2929437
     • Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1용 IE11 :  2964444 업데이트는 MS14-012(2925418), 2964358 업데이트는 2919355

 Q. 보안 권고 2963983에서 설명하는 대안을 적용하였습니다. 이 업데이트 설치하기 전에 적용한 대안을 해제해야 합니까?
 A. 어떤 대안을 적용하였는지에 따라 다릅니다.
    • VGX.dll 에 대한 Access Control List(ACL)을 수정한 경우, 이 업데이트 적용하기 반드시 이전 설정을 복원해야 합니다. 자세한 방법은 MS14-021 의 업데이트 FAQ를 확인해 주십시오.
    • VGX.dll 을 unregister한 경우, 이 업데이트 적용 전에 다른 조치는 필요 없습니다. 그러나 unregister VGX.dll로 인해 VML을 이용하는 사이트에 영향을 미칠 수 있으니 이 업데이트를 적용하여 취약점을 해결하고 vgx.dll 설정을 복원하시기를 권고합니다.

 Q. Internet Explorer 11에 대해서는 여러 업데이트가 있습니다. 모두 설치해야 합니까?
 A. 아닙니다. 사용하는 환경에 따라 각각의 보안 업데이트가 설치됩니다.
    자세한 내용은 https://technet.microsoft.com/library/security/ms14-021 의 업데이트 FAQ를 살펴보시기 바랍니다.

 Q. Internet Explorer 11 에 대한 2964358 업데이트를 설치하기 전에 사전 작업이 필요합니까?
 A. 예. Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 용 IE11 사용자는 반드시 2014년 4월에 발표된 2919355 업데이트를 설치해야 합니다. 자세한 내용은 기술 문서 2919355(https://support.microsoft.com/kb/2919355)를 확인 해 주십시오.

상세 정보: https://technet.microsoft.com/library/security/ms14-021

============================
추가 정보
============================
• 보안 공지 MS14-021 - Internet Explorer 보안 업데이트(2965111): https://technet.microsoft.com/library/security/ms14-021

• 보안 권고 2963983 - Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점 : https://technet.microsoft.com/library/security/2963983

• Microsoft Security Response Center (MSRC) Blog: https://blogs.technet.com/msrc/

• Microsoft Security Research & Defense (SRD) Blog: https://blogs.technet.com/srd/   

=================================================
정보의 일관성
=================================================
본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다. 이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불 일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.
기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

감사합니다.
한국마이크로소프트 고객지원부