Login

로그인해주세요

장바구니

기술지원

apps바로가기

shopping_bag

MS Internet Explorer의 문서객체모델 처리 취약점

2005-11-29 

□ 개요 
  o Internet Explorer가  window 객체를 가리키는 onLoad 이벤트를 처리할 때 취약점이 존재
  o 공격자는 악의적인 웹페이지를 구축하고 이메일의 링크 등을 통해 사용자가 방문하도록 유도하여 본 취약점을
     악용할 수 있음
  o 이 취약점이 악용되면 공격자는 영향받는 시스템에 대해 완전한 권한을 획득할 수 있음
□ 영향받는 소프트웨어
  o 모든 버전의 Microsoft Internet Explorer
    ※ Windows 2003의 경우, 디폴트로 제공되는 보안강화구성(Enhanced Security Configuration)을 사용하는
        Internet Explorer는 영향받지 않음
□ 대응방법 
  o 본 취약점의 아직 보안패치가 발표되지 않음. 따라서 의심되는 이메일에 포함된 링크를 방문하지 않는 등 안전한 
     브라우징 습관, 개인방화벽과 백신제품의 사용, Windows 최신 보안업데이트 설치 등이 도움이 될 수 있음
o Microsoft는 보안권고에서 다음과 같이 Internet Explorer의 보안수준을 강화할 수 있는 임시 해결방안을 제시함
   (Windows XP 기준이며 기타버전은 이에 준하도록 함)
  
1. Internet Explorer의 인터넷과 로컬 인트라넷 영역 보안 설정에서 Active 스크립팅의 사용제한
  - Internet Explorer의 ‘도구’ 메뉴에서 ‘인터넷 옵션’을 클릭 → ‘보안’탭 클릭 → ‘인터넷’/‘로컬 인트라넷’
    아이콘 클릭 → ‘사용자 지정 수준’을 클릭 → ‘스크립팅’ 섹션 중 ‘Active 스크립팅’에서  ‘사용 안 함‘ 또는
     ’확인‘을 선택
    ※ Active 스크립팅을 사용안함으로 설정하였을 때 일부 웹사이트들은 정상적으로 동작하지 않을 수 있으므로,
        방문하고자 하는 사이트가 이미 알고있는 신뢰하는 사이트인경우 해당 설정을 일시적으로 ‘사용’으로 되돌린
        다음 접속할 수 있음
2. Internet Explorer의 인터넷과 로컬 인트라넷 영역 보안 설정에서 보안 수준을 ‘높음’으로 설정
  - Internet Explorer의 ‘도구’ 메뉴에서 ‘인터넷 옵션’을 클릭 → ‘보안’탭 클릭 → ‘인터넷’/‘로컬 인트라넷’
     아이콘 클릭 → ‘기본 수준’을 클릭 → 슬라이더를 움직여서 ‘높음’으로 설정
    ※ 인터넷과 로컬 인트라넷 영역의 보안수준을 ‘높음’으로 설정하였을 때 일부 웹 사이트들은 정상적으로 동작하지 않을 수
        있으므로, 방문하고자 하는 사이트가 이미 알고 있는 신뢰하는 사이트인 경우 해당 설정을 일시적으로 이전상태로
        되돌린다음 접속할 수 있음
3. Active 스크립팅을 실행해야 하는 웹사이트 중 신뢰할 수 있는 곳은 ‘신뢰할 수 있는 사이트‘에 등록
  - Internet Explorer의 ‘도구’ 메뉴에서 ‘인터넷 옵션’을 클릭 → ‘보안’탭 클릭 → ‘신뢰할 수 있는 사이트’ 
    아이콘 클릭 →‘사이트(S)...’ 버튼을 클릭 → 추가하고자 하는 사이트가 암호화된 채널을 요구하지 않는다면
    ‘이 영역에 있는 모든사이트에  대해 서버 확인(https:) 필요’의 체크 해제 → 추가하고자 하는 웹사이트를
    입력하고 ‘추가’ ‘확인’ 버튼을 클릭 
□ 참조사이트 
o 영문 Microsoft 보안권고 :
http://www.microsoft.com/technet/security/advisory/911302.mspx

====================================================================
1. 용어 정리
  o 문서객체모델(Document Object Model) : 웹페이지에 표현되는 모든 속성에 대해 객체화하여 이를 자유자재로
    사용할 수 있도록 만든 것. document, form, window 등 각각의 속성을 객체화하고 트리 구조로 형상화하여
    이에 대한 이벤트 처리가 가능함 
  o onLoad 이벤트: 웹 페이지가 브라우저 상에 로드(표시)될 경우 실행되도록 웹 사이트 개발자가 설정해 놓은 윈도우
    이벤트(예. 행사안내 팝업창을 자동으로 띄우기 기능 등) 
  o Active 스크립팅: 마이크로 소프트가 웹 사이트의 기능강화를 위하여 개발한 기술로 브라우저가 웹 페이지에 포함된
    스크립팅 프로그래밍 언어(VBScript and Jscript)를 해석하고 실행하도록 하는 기능
2. F.A.Q
  o 보안 패치는 언제 발표되나요?
  - MS에서 정기 보안업데이트 혹은 긴급 보안업데이트를 발표할 수 있으며
    보안 패치가 발표될 경우 본 사이트를 통하여 공지할 예정입니다.
  o 언제까지 위 ‘대응방법’에 설정한 보안설정을 유지해야 하나요?
  - 보안패치가 발표되어 적용했을 경우 위 설정을 원래상태로 되돌릴 수 있습니다.

 3. 기타 문의사항
  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118



기사출저 : 인터넷침해사고대응지원센터