2009-08-05
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
ATL 개발자를 위한 보안 권고 사항이 발표되었으니, 조속히 패치하시기 바랍니다. 해당 시스템 운영하시는 고객분께서는 반드시 아래내용을 숙지하시고 업데이트를 실시 하시기 바랍니다
문의 : 02-6925-5044
담당자 : 김봉기 주임
□ 개요
o 취약한 ATL 헤더를 사용해 빌드된 컨트롤과 컴포넌트들에 의해 원격코드실행 취약점이
발생할 가능성이 있음 [1, 2, 3]
※ Visual Studio 자체는 취약하지 않으며 취약한 ATL 버전을 사용하여 개발한 경우에만
해당 취약점이 존재함
o 공격자는 특수하게 조작된 웹 페이지를 열도록 유도하여 사용자 권한을 획득 가능
o 해당 취약점을 공격하는 사례[8]가 보고되고 있으므로, ATL 개발자는 신속히 보안
업데이트를 적용하고 취약한 ATL을 사용한 컴포넌트와 컨트롤을 재빌드하여 배포해야 함
※ ATL(Active Template Library) : COM(Component Object Model) 객체 프로그래밍을
단순화하기 위한 템플릿 기반 C++ 클래스의 집합으로 이를 이용한 OLE 자동화,
ActiveX 컨트롤 등의 개발이 가능함
□ 해당 시스템
o 영향 받는 소프트웨어
- Microsoft에서 출시된 모든 운영체제의 모든 IE 버전
- Microsoft Visual Studio .NET 2003 SP1
- Microsoft Visual Studio 2005 SP1
- Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008, SP1
- Microsoft Visual C++ 2005 SP1 Redistributable Package
- Microsoft Visual C++ 2008 Redistributable Package
- Microsoft Visual C++ 2008 SP1 Redistributable Package
※ ATL Versions 7.0, 7.1, 8.0, 9.0
□ 개발자를 위한 권고 사항
o MS09-032, MS09-034, MS09-035 보안 업데이트 적용
- MS09-032[4] : ActiveX Kill-Bit 누적 보안 업데이트
- MS09-034[2] : 웹기반 ATL 취약점 공격의 방어를 위한 IE 보안 업데이트
- MS09-035[3] : ATL 취약점 보안 업데이트
o 취약한 ATL을 사용하여 개발된 컴포넌트와 컨트롤의 소스 코드를 검토해서 문제가 있을
경우, 수정하고 업데이트 된 ATL을 사용하여 재 빌드 후 배포해야 함
- 기존의 문제가 있는 매크로 및 함수를 새로운 버전의 매크로 및 함수로 대체 [7]
- 개발한 ActiveX 컨트롤에 취약점이 있는지 Verizon Cybertrust Security에서 제공하는
무료 코드 검증 서비스[9]를 이용 가능함
※ 자세한 대응 가이드는 [6, 7]을 참조
□ 일반 사용자를 위한 해결 방안
o MS 보안 업데이트 사이트[5]에서 신속히 최신 업데이트를 적용하거나 자동 업데이트를 설정
- 취약한 ATL을 사용하여 개발된 컴포넌트나 컨트롤이 IE에서 악용되지 않도록 MS09-032
및 MS09-034 보안 업데이트를 적용
- 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택
o 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
o 신뢰되지 않는 웹 사이트의 방문 자제
o 출처가 불분명한 이메일의 첨부파일 열어보기 자제
□ 참조사이트
[1] MS 보안 공지 (KB973882)
o 영문 : http://www.microsoft.com/technet/security/advisory/973882.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/advisory/973882.mspx
[2] MS09-034
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-034.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-034.mspx
[3] MS09-035
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-035.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-035.mspx
[4] MS09-032
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-032.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-032.mspx
[5] MS 보안 업데이트
o http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko
[6] ATL 보안 업데이트 해결 방안 정리 문서 (영문)
o http://www.microsoft.com/security/atl.aspx
[7] ATL 개발자를 위한 문서 및 동영상 (영문)
o http://msdn.microsoft.com/en-us/visualc/ee309358.aspx
o http://blogs.technet.com/srd/archive/2009/07/28/atl-vulnerability-developer-deep-dive.aspx
o http://blogs.msdn.com/sdl/archive/2009/07/28/atl-ms09-035-and-the-sdl.aspx
o http://channel9.msdn.com/posts/Charles/Out-of-Band-Inside-the-ATL-Security-Update/
[8] MS 보안공지 및 비정기 보안 업데이트 개요 (영문)
o http://blogs.technet.com/srd/archive/2009/07/28/overview-of-the-out-of-band-release.aspx
o http://blogs.technet.com/msrc/archive/2009/07/28/microsoft-security-advisory-973882-microsoft-security-bulletins-ms09-034-and-ms09-035-released.aspx
[9] Verizon Cybertrust Security 제공 정보 및 무료 코드 검증 서비스
o http://securityblog.verizonbusiness.com/2009/07/28/activex-risk/
o http://codetest.verizonbusiness.com/
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118
참조 : 인터넷침해사고대응센터