Login

로그인해주세요

장바구니

기술지원

apps바로가기

shopping_bag

[보안]윈도우즈 1월 보안 패치 권고

2006-02-04 

호스트센터 기술 보안팀입니다.

1월도 어김없이 중요패치가 나왔습니다. 확인하시고 업데이트 체크 부탁드립니다!

[MS06-002] 임베디드 웹 폰트 취약점으로 인한 원격코드실행 문제(908519) 


□ 영향 

  o 공격자가 영향받는 시스템에 대해 완전한 권한 획득

□ 설명  

  o Windows에서 조작된 임베디드 웹 폰트를 처리하는 과정에서 취약점이 존재

※ 웹 폰트(Web Font) : 트루타입 폰트(화면에 나타나는 글꼴과 인쇄 글꼴이 같으며 .ttf 확장자를 가짐)가 설치되어 있지 않더라도, 웹브라우저에서 원하는 글꼴로 보여줄 수 있는 폰트

  o 공격자는 악의적인 웹페이지를 구축하고 사용자가 방문하도록 유도하거나, 조작된 이메일을 전송하여 영향받는 시스템에 대해 완전한 권한 획득 가능

  o 관련취약점 : 

    - Windows Embedded Web Font Vulnerability - CVE-2006-0010

  o 영향 : 원격 코드 실행

  o 중요도 : 긴급

□ 해당시스템  

  o 영향받는 소프트웨어 

    - Microsoft Windows 2000 SP(Service Pack) 4 

    - Microsoft Windows XP SP1, SP2

    - Microsoft Windows XP Professional x64 Edition

    - Microsoft Windows Server 2003, SP1

    - Microsoft Windows Server 2003, SP1 for Itanium-based Systems

    - Microsoft Windows Server 2003 x64 Edition

    - Microsoft Windows 98/Windows 98 SE/Windows ME (참조사이트의 FAQ 참조)

□ 해결책  

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 

  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS06-002.mspx 

o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS06-002.mspx 

 

[MS06-003] Microsoft Outlook과 Exchange Server에서 TNEF 디코딩 취약점으로 인한 원격코드실행 문제(902412)
 

□ 영향 

  o 공격자가 영향받는 시스템에 대해 완전한 권한 획득
   
□ 설명  

  o Microsoft Outlook과 Exchange Server에서 조작된 TNEF 이메일을 디코딩하는 과정에서 취약점이 존재

※ TNEF(Transport Neutral Encapsulation Format) : Exchange Server와 Outlook에서 서식있는 텍스트(RTF, Rich Text Format) 메시지를 전송할 때 사용되는 포맷. 메시지를 평문 텍스트와 TNEF 블록의 포맷 정보로 분리하여 전송함

  o 공격자는 Outlook 또는 Exchange Server를 실행하는 사용자에게 조작된 이메일을 전송하여 영향받는 시스템에 대해 완전한 권한 획득 가능

  o 관련취약점 : TNEF Decoding Vulnerability - CVE-2006-0002

  o 영향 : 원격 코드 실행

  o 중요도 : 긴급

□ 해당시스템  

  o 영향받는 소프트웨어 

    - Microsoft Outlook 2000

    - Microsoft Office 2000 MultiLanguage Packs

    - Microsoft Outlook 2000 English MultiLanguage Packs

    - Microsoft Outlook 2002

    - Microsoft Office XP Multilingual User Interface Packs 

    - Microsoft Outlook 2003

    - Microsoft Office 2003 Multilingual User Interface Packs

    - Microsoft Office 2003 Language Interface Packs

    - Microsoft Exchange Server 5.0 SP2 

    - Microsoft Exchange Server 5.5 SP4

    - Microsoft Exchange 2000 SP3 with the Exchange 2000 Post-SP3 Update Rollup of August 2004

  o 영향받지 않는 소프트웨어

    - Microsoft Exchange Server 2003 SP1, SP2

□ 해결책  

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트 

  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS06-003.mspx  

o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS06-003.mspx