[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] MSÀÇ Á¤±â ÆÐÄ¡ÀÏÀÌ´Ù. À̹ø ´Þ¿¡´Â 86°³ÀÇ Ãë¾àÁ¡µéÀÌ ´Ù·ïÁ³´Âµ¥, À©µµ, ¿¡Áö ºê¶ó¿ìÀú, ¾ÖÀú, ¿ÀÇǽº, ¼Î¾îÆ÷ÀÎÆ® ¼¹ö, À©µµ DNS, ¸®´ª½º¿ë À©µµ ¼ºê½Ã½ºÅÛ µîÀÇ MS Á¦Ç° ¹× ¼ºñ½ºµéÀÌ ¿µÇâÀ» ¹Þ´Â °ÍÀ¸·Î ºÐ¼®µÈ´Ù. 3°³´Â Ä¡¸íÀû À§Ç豺, 62°³´Â °íÀ§Ç豺, 1°³´Â Áß°£ À§Ç豺À¸·Î ºÐ·ùµÆ´Ù.
[À̹ÌÁö = utoimage]
ÇöÀç ÇØÄ¿µéÀÇ È°¹ßÇÑ °ø°ÝÀ» ¹Þ°í ÀÖ´Â Ãë¾àÁ¡Àº CVE-2021-40444·Î MSHTML¿¡¼ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À̸ç, Áö³ ÁÖ¿¡ º¸¾È ±Ç°í¹®À» ÅëÇØ ¹Ì¸® °ø°³µÈ ¹Ù ÀÖ´Ù. ±× ¶§ ´ç½Ã ÀÌ¹Ì ÇØÄ¿µéÀÇ È°¹ßÇÑ ÀͽºÇ÷ÎÀÕÀ» ÁÖÀÇÇ϶ó´Â °æ°í°¡ ³ª¿Ô¾ú´Ù. ±×¸®°í À§ÇèÀ» ÁÙÀÏ ¼ö ÀÖ´Â ´ëÃ¥µµ °°ÀÌ Á¦½ÃµÆ¾ú´Ù.
°ø°ÝÀڴ Ư¼öÇÏ°Ô Á¶ÀÛµÈ ¾×ƼºêX ÄÁÆ®·ÑÀ» ¿ÀÇǽº ÆÄÀÏ¿¡ ÀÓº£µå ÇÑ ÈÄ ÇÇÇØÀÚ¿¡°Ô º¸³¿À¸·Î½á ÀͽºÇ÷ÎÀÕÀ» ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÇÇÇØÀÚ°¡ ÀÌ ÆÄÀÏÀ» ¿¸é ¾Ç¼º Äڵ尡 ·Î±×ÀÎÇÑ ÇÇÇØÀÚÀÇ ÃþÀ§¿¡ ¸ÂÃç¼ ½ÇÇàÀÌ µÈ´Ù. Áï »ç¿ëÀÚ ±ÇÇÑÀÌ ³ôÀ¸¸é ³ôÀ»¼ö·Ï ÀÌ °ø°ÝÀ¸·Î ÀÎÇÑ ÇÇÇØ°¡ Ä¿Áö°í ³·À¸¸é ³·À»¼ö·Ï ¾î´À Á¤µµ ¿¹¹æÀÌ µÈ´Ù´Â °ÍÀÌ´Ù. °ø°Ý ÀÚü°¡ ¾î·Á¿î °Ç ¾Æ´Ï³ª »ç¿ëÀÚÀÇ ÆÄÀÏÀ» ¿©´Â ½Ç¼ö°¡ ¹Ýµå½Ã ÇÊ¿äÇÏ´Ù.
ÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â °Ç À©µµ 7ºÎÅÍ À©µµ 10, À©µµ ¼¹ö 2008ºÎÅÍ À©µµ ¼¹ö 2019±îÁö´Ù. MSHTML¿¡¼ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¼Ò½ÄÀº ÃÖ±Ù ¸çÄ¥ µ¿¾È Å©°Ô ȸÀڵǾú´Âµ¥ ´ÙÇàÈ÷ ¾ÆÁ÷±îÁö ½ÇÁúÀûÀÎ ÇØÅ· °ø°Ý¿¡ ´ëÇÑ ¼Ò½ÄÀº ¾ø´Â »óÅ´Ù. ÀÌÁ¦ ÆÐÄ¡°¡ ³ª¿ÔÀ¸´Ï Àû¿ëÇÏ¸é º¸´Ù ¾ÈÀüÇØÁú ¼ö ÀÖ´Ù°í MS´Â °Á¶Çß´Ù.
¶Ç Çϳª ´«¿¡ ¶ç´Â Ãë¾àÁ¡Àº CVE-2021-36965´Ù. À©µµ WLAN AutoConfig Service¿¡¼ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì ÇÇÇØÀÚ¿Í °°Àº ³×Æ®¿öÅ©¿¡ Á¢¼ÓÇÑ °ø°ÝÀÚ°¡ ½Ã½ºÅÛ ±ÇÇÑÀ» °¡Áö°í Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ Ãë¾àÁ¡Àº Ä¡¸íÀûÀ¸·Î À§ÇèÇÑ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. »ç¿ëÀÚÀÇ ¡®½Ç¼ö¡¯ °°Àº ÇàÀ§¸¦ ÇÊ¿ä·Î ÇÏÁö ¾Ê´Â´Ù. ´Ù¸¸ °ø°ÝÀÚ°¡ ÇÇÇØÀÚ¿Í °°Àº ³×Æ®¿öÅ©¿¡ Á¢¼ÓÇÑ »óÅ¿©¾ß ÇÑ´Ù.
CVSS Á¡¼ö·Î ºÃÀ» ¶§ °¡Àå ½É°¢ÇÑ Ãë¾àÁ¡Àº CVE-2021-38647ÀÌ´Ù. Open Management Infrastructure(OMI)¿¡¼ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ´Ù. CVSS ±âÁØ 9.8Á¡À» ¹Þ¾Ò´Ù. Ư¼öÇÏ°Ô Á¶ÀÛÇÑ ¸Þ½ÃÁö¸¦ HTTPS¸¦ ÅëÇØ 5986¹ø Æ÷Æ®(WinRMport)·Î Àü¼ÛÇϸé ÀͽºÇ÷ÎÀÕ µÈ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÏ¸é ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀÌ °¡´ÉÇÏ°Ô µÈ´Ù. ¾ÖÀú¿Í °°Àº ¿ÜºÎ ¼ºñ½ºµéÀÌ ÀÌ Æ÷Æ®¸¦ ÅëÇØ È°¼ºÈ µÇ±â ¶§¹®¿¡ ½Ã±ÞÇÑ ÆÐÄ¡°¡ ÇÊ¿äÇÏ´Ù°í MS´Â °Á¶Çß´Ù.
¶Ç Çϳª Áß¿äÇÑ Ãë¾àÁ¡Àº CVE-2021-36968ÀÌ´Ù. À©µµ DNS¿¡¼ ¹ß°ßµÈ ±ÇÇÑ »ó½Â Ãë¾àÁ¡À¸·Î CVSS 7.8Á¡À» ¹Þ¾Ò´Ù. ¾ÆÁ÷ ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ¼¼ºÎ ³»¿ëÀº ¾ÆÁ÷ °ø°³µÇÁö ¾Ê¾ÒÁö¸¸ ÀͽºÇ÷ÎÀÕ ³À̵µ°¡ ³·°í »ç¿ëÀÚÀÇ °³ÀÔÀÌ ÀüÇô ÇÊ¿äÄ¡ ¾ÊÀº °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. À©µµ 7°ú À©µµ ¼¹ö 2008, À©µµ ¼¹ö 2008 R2¿¡ ¿µÇâÀ» ÁÖ´Â Ãë¾àÁ¡À̶ó°í ÇÑ´Ù.
ÇÏÁö¸¸ À̹ø Á¤±â ÆÐÄ¡¿¡´Â ¡®°³¿ä¡¯°¡ ºüÁ® ÀÖ¾î º¸¾È ´ã´çÀÚµéÀÇ ºÒ¸¸ÀÌ Å©´Ù. º¸¾È ¾÷ü Æ®¸³¿ÍÀ̾î(Tripwire)ÀÇ R&D ´ã´çÀÚÀΠŸÀÏ·¯ ¸®°É¸®(Tyler Reguly)´Â ¡°°³¿ä´Â Ãë¾àÁ¡ ÆÐÄ¡ °ü¸®¿¡ ÀÖ¾î °¡Àå Áß¿äÇÑ ºÎºÐ¡±À̶ó¸ç ¡°À̹ø¿¡ °³¿ä°¡ ºüÁö´Â ¹Ù¶÷¿¡ ÇöÀå¿¡¼ ÆÐÄ¡¸¦ °èȹÇÏ°í ÁøÇàÇÏ´Â µ¥ ÀÖ¾î »ó´çÇÑ ¾î·Á¿òÀÌ ÀÖ´Ù¡±°í ½è´Ù. ¡°Ãë¾àÁ¡¿¡ ´ëÇÑ ³»¿ëÀÌ ÃÖ´ëÇÑ ¸¹ÀÌ Àü´ÞµÇ¾î¾ß ÇöÀå¿¡¼ ´õ ³ªÀº °áÁ¤À» ÇÒ ¼ö ÀÖ´Ù¡±°í °Á¶Çϱ⵵ Çß´Ù.
ÇÁ¸°Æ® ½ºÇ®·¯(Print Spooler)¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡ÀÎ ÇÁ¸°Æ®³ªÀÌÆ®¸Þ¾îµµ À̹ø¿¡ ÆÐÄ¡µÆ´Ù. Áö³ 7¿ù¿¡ óÀ½ ¹ß°ßµÈ ÀÌÈÄ Áö±Ý±îÁö ²ÙÁØÈ÷ ¹®Á¦°¡ µÇ¾î ¿Â Ãë¾àÁ¡À¸·Î CVE-2021-38667, CVE-2021-38671, CVE-2021-40447ÀÌ ÇöÀç±îÁö ¹ß°ßµÇ¾î ¿Ô´Ù. ÇÏÁö¸¸ ÇÁ¸°Æ® ½ºÇ®·¯¿¡ ´ëÇÑ ¿¬±¸°¡ ¾ÆÁ÷µµ ÁøÇàµÇ°í ÀÖ¾î ÇÁ¸°Æ®³ªÀÌÆ®¸Þ¾î¶õ À̸§À» °¡Áø Ãë¾àÁ¡Àº ¾ÕÀ¸·Î ´õ ³ª¿Ã ¼ö ÀÖ´Ù.
3ÁÙ ¿ä¾à
1. MSÀÇ ÆÐÄ¡ Æ©Áîµ¥ÀÌ, À̹ø ´Þ¿¡´Â 86°³ Ãë¾àÁ¡ ÇØ°áµÊ.
2. Ä¡¸íÀû Ãë¾àÁ¡ÀÌ 3°³, ÀÌ¹Ì °ø°Ý´çÇÏ°í ÀÖ´Â Ãë¾àÁ¡ÀÌ 1°³.
3. ÇÁ¸°Æ®³ªÀÌÆ®¸Þ¾î Ãë¾àÁ¡°ú MSHTML ¿£Áø Ãë¾àÁ¡ ¸ðµÎ ÇØ°áµÊ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>