2011년 11월 MS 정기 보안업데이트 권고

[보안뉴스 김태형] MS가 2011년 11월 정기 보안 업데이트 권고 사항을 발표했다. 주요 내용은 다음과 같다.

[MS11-083] TCP/IP에서 발생하는 취약점으로 인한 원격코드 실행 문제
영향

·공격자가 영향 받는 시스템에 대해 완전한 권한 획득

설명

·특수하게 조작된 UDP패킷을 공격 대상 시스템의 닫힌 포트에 연속적으로 전송할 경우 원격코드가 실행될 수 있는 취약점이 존재

·관련취약점 :

- Reference Counter Overflow Vulnerability - (CVE-2011-2013)

·영향 : 원격코드실행

·중요도 : 긴급

해당시스템

·영향 받는 소프트웨어

- Windows Vista 서비스팩1*, 서비스 팩2

- Windows Vista x64 Edition 서비스 팩2

- Windows Server 2008 서비스 팩2

- Windows Server 2008 64-bit 서비스 팩2

- Windows Server 2008 Itanium 서비스 팩2

- Windows 7 서비스 팩0, 1

- Windows 7 64-bit 서비스 팩0, 1

- Windows Server 2008 R2 64-bit 서비스 팩0, 1

- Windows Server 2008 R2 Itanium 서비스 팩0, 1

해결책

·해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

참조사이트

·영문 : http://technet.microsoft.com/en-us/security/bulletin/MS11-083

·한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS11-083

[MS11-084] 윈도우 커널모드 드라이버에서 발생하는 취약점으로 인한 서비스 거부 문제

영향

·공격자가 영향 받는 시스템에 대해 서비스 거부 공격 가능

설명

·특수하게 제작된 TrueType 글꼴파일이 포함된 이메일 등을 열람할 경우, 서비스 거부가 발생할 수 있는 취약점이 존재

·관련취약점 :

- TrueType Font Parsing Vulnerability - (CVE-2011-2004)

·영향 : 서비스 거부

·중요도 : 보통

해당시스템

·영향 받는 소프트웨어

- Windows 7 서비스 팩0, 1

- Windows 7 64-bit 서비스 팩0, 1

- Windows Server 2008 R2 64-bit 서비스 팩0, 1

- Windows Server 2008 R2 Itanium 서비스 팩0, 1

·영향 받지 않는 소프트웨어

- Windows XP 서비스 팩3

- Windows XP Professional 64-bit 서비스 팩2

- Windows Server 2003 서비스 팩2

- Windows Server 2003 64-bit 서비스 팩2

- Windows Server 2003 서비스 팩2 Itanium

- Windows Vista SP1, 서비스 팩2

- Windows Vista 64-bit 서비스 팩2

- Windows Server 2008 서비스 팩2

- Windows Server 2008 64-bit 서비스 팩2

- Windows Server 2008 Itanium 서비스 팩2

해결책

·해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

참조사이트

·영문 : http://technet.microsoft.com/en-us/security/bulletin/MS11-084

·한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS11-084

[MS11-085] 윈도우 Meeting Space 에서 발생하는 취약점으로 인한 원격 코드 실행 문제

영향

·공격자가 영향 받는 시스템에 대해 완전한 권한 획득

설명

·정상적인 형식 파일(.EML), (.wcinv)열람시, 특수하게 조작된 라이브러리 파일이 동일 네트워크상의 디렉토리내에 존재할 경우 원격코드가 실행될 수 있는 취약점이 존재

·관련취약점 :

- Windows Mail Insecure Library Loading Vulnerability - (CVE-2011-2016)

·영향 : 원격 코드 실행

·중요도 : 중요

해당시스템

·영향 받는 소프트웨어

- Windows Vista SP1, 서비스 팩2

- Windows Vista 64-bit 서비스 팩2

- Windows 7 서비스 팩0, 1

- Windows 7 64-bit 서비스 팩0, 1

- Windows Server 2008 서비스 팩2**

- Windows Server 2008 64-bit 서비스 팩2**

- Windows Server 2008 Itanium 서비스 팩2

- Windows Server 2008 R2 64-bit 서비스 팩0, 1**

- Windows Server 2008 R2 Itanium 서비스 팩0, 1

※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

·영향 받지 않는 소프트웨어

- Windows XP 서비스 팩3

- Windows XP Professional 64-bit 서비스 팩2

- Windows Server 2003 서비스 팩2

- Windows Server 2003 64-bit 서비스 팩2

- Windows Server 2003 서비스 팩2 Itanium

해결책

·해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

참조사이트

·영문 : http://technet.microsoft.com/en-us/security/bulletin/MS11-085

·한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS11-085

[MS11-086] 윈도우 엑티브 디렉토리 에서 발생하는 취약점으로 인한 권한상승 문제

영향

·공격자가 영향 받는 시스템에 대해 권한상승

설명

·엑티브 디렉토리가 LDAPS(LDAP over SSL)를 사용하도록 구성되있는 환경에서, 공격자는 유요한 도메인 계정 및 해지된 인증서를 획득 후 사용하여 엑티브 디렉토리 도메인에 인증을 받는 경우, 권한이 상승될 수 있는 취약점이 존재

·관련취약점 :

- LDAPS Authentication Bypass Vulnerability - (CVE-2011-2014)

·영향 : 권한상승

·중요도 : 중요

해당시스템

·영향 받는 소프트웨어

- Windows XP 서비스 팩3

- Windows XP Professional 64-bit 서비스 팩2

- Windows Server 2003 서비스 팩2

- Windows Server 2003 64-bit 서비스 팩2

- Windows Server 2003 서비스 팩2 Itanium

- Windows Vista SP1, 서비스 팩2

- Windows Vista 64-bit 서비스 팩2

- Windows 7 서비스 팩0, 1

- Windows 7 64-bit 서비스 팩0, 1

- Windows Server 2008 서비스 팩2

- Windows Server 2008 64-bit 서비스 팩2

- Windows Server 2008 R2 64-bit 서비스 팩0, 1

·영향 받지 않는 소프트웨어

- Windows Server 2008 Itanium 서비스 팩2

- Windows Server 2008 R2 Itanium 서비스 팩0, 1

해결책

·해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

참조사이트

·영문 : http://technet.microsoft.com/en-us/security/bulletin/MS11-086

·한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS11-086

<*자료 출처 : 한국인터넷진흥원 인터넷침해대응센터>

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)