Microsoft Security Bulletin MS12-007 - 중요

AntiXSS 라이브러리의 취약점으로 인한 정보 유출 문제점 (2607664)

게시된 날짜: 2012년 1월 10일 화요일 | 업데이트된 날짜: 2012년 1월 17일 화요일

버전: 2.1

일반 정보

요약

이 보안 업데이트는 비공개적으로 보고된 Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리의 취약점 1건을 해결합니다. 이 취약점은 공격자가 AntiXSS 라이브러리의 삭제 기능을 사용하여 웹 사이트에 악성 스크립트를 제공할 경우 정보가 유출되도록 할 수 있습니다. 이러한 정보 노출의 결과는 정보 자체의 특성에 따라 좌우됩니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 생성할 수 있습니다. AntiXSS 라이브러리의 삭제 모듈을 사용하는 사이트만 이 취약점의 영향을 받습니다.

이 보안 업데이트의 심각도는 AntiXSS 라이브러리 V3.x 및 AntiXSS 라이브러리 V4.0에 대해 중요입니다. 자세한 내용은 이 섹션에서 영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어 하위 섹션을 참조하십시오.

이 업데이트는 AntiXSS 라이브러리를 이 취약점의 영향을 받지 않는 버전으로 업그레이드하여 취약점을 해결합니다. 취약점에 대한 자세한 내용은 취약점 정보에서 각 취약점 항목의 자주 제기되는 질문 사항(FAQ)을 참조하십시오.

권장 사항. 이 업데이트를 가능한 빨리 적용하는 것이 좋습니다.

알려진 문제점. 이 보안 업데이트를 설치할 때 고객이 겪을 수 있는 현재까지 알려진 문제점은 Microsoft 기술 자료 문서 2607664에 나와 있습니다. 이 문서는 이러한 문제점에 대한 권장 해결 방법도 소개합니다.

영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어

다음 소프트웨어는 테스트를 거쳐 영향을 받는 버전 또는 에디션이 확인되었습니다.

영향을 받는 소프트웨어

소프트웨어	최대 보안 영향	전체 심각도	이 업데이트로 대체된 공지
Microsoft 사이트 간 스크립팅 방지 라이브러리 V3.x 및 Microsoft 사이트 간 스크립팅 방지 라이브러리 V4.0^[1][2]	정보 유출	중요	없음

^[1]이 다운로드는 Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리를 이 취약점의 영향을 받지 않는 최신 버전의 Microsoft 사이트 간 스크립팅 방지 라이브러리로 업그레이드합니다.

^[2]이 업그레이드는 Microsoft 다운로드 센터에서만 다운로드할 수 있습니다 다음에 나오는 이 보안 업데이트와 관련된 자주 제기되는 질문 사항 섹션을 참조하십시오.

이 보안 업데이트와 관련된 자주 제기되는 질문 사항

이 보안 공지가 2012년 1월 11일에 다시 릴리스된 이유는 무엇입니까?
Microsoft는 원래 업데이트 패키지인 AntiXSS 라이브러리 버전 4.2가 AntiXSS 라이브러리 버전 4.2.1로 교체되었음을 알리기 위해 이 공지를 다시 릴리스하였습니다. 새 버전은 특정 상황에서 원래 업그레이드 패키지 설치 실패를 발생시키는 명명 문제를 해결합니다. AntiXSS 라이브러리의 모든 사용자는 AntiXSS 라이브러리 버전 4.2.1(영문)로 업그레이드해야 이 공지에서 설명한 취약점으로부터 보호할 수 있습니다.

AntiXSS 라이브러리를 사용하고 있는 개발자입니다. 시스템을 업데이트해야 합니까?
아니요. AntiXSS 라이브러리를 사용하는 개발자는 이 공지에 설명된 업그레이드를 설치한 다음 AntiXSS 라이브러리를 사용하는 모든 활성 웹 사이트에 업데이트된 라이브러리를 배포해야 합니다.

이 업그레 이드에 기능에 대한 보안 관련 변경 사항이 포함되어 있습니까?
예. 최신 버전의 AntiXSS 라이브러리(AntiXSS 라이브러리 버전 4.2.1)로 업그레이드하면 이 공지의 취약점 정보 섹션에 포함되어 있는 변경 사항 외에 AntiXSS 라이브러리가 CSS(CSS 스타일시트)를 처리하는 방식도 변경됩니다. 태그나 특성과 같은 스타일을 포함하는 삭제 프로그램에 대한 HTML 입력은 제거됩니다. 스타일 태그의 경우 태그 내용은 그대로 남아 있습니다. 이러한 동작은 유효하지 않은 다른 태그의 동작과 일치합니다.

AntiXSS 라이브러리 버전을 업그레이드하려면 어떻게 해야 합니까 ?
고객은 앞에 나오는 영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어 섹션의 영향을 받는 소프트웨어 표에 있는 다운로드 링크를 사용하여 취약점의 영향을 받지 않는 최신 버전의 Microsoft 사이트 간 스크립팅 방지 라이브러리(AntiXSS 라이브러리 버전 4.2.1)를 구할 수 있습니다.

이 업그레이 드를 Microsoft 다운로드 센터에서만 제공하는 이유는 무엇입니까?
Microsoft는 AntiXSS 라이브러리용 업그레이드를 Microsoft 다운로드 센터에만 출시하고 있습니다. 그 이유는 개발자가 AntiXSS 라이브러리를 사용하는 활성 웹 사이트에 업데이트된 라이브러리를 배포하므로 자동 업데이트와 같은 다른 배포 방법은 이 업데이트 시나리오 유형에 적절하지 않기 때문입니다.

취약점 정보

심각도 및 취약점

영향을 받는 소프트웨어별 취약점 심각도 및 최대 심각도 영향
영향을 받는 소프트웨어	AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)	전체 심각도
Microsoft 사이트 간 스크립팅 방지 라이브러리 V3.x 및 Microsoft 사이트 간 스크립팅 방지 라이브러리 V4.0	중요 정보 유출	중요

AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)

Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리가 특수하게 조작된 HTML을 잘못 삭제할 때 정보 유출 취약점이 존재합니다. 이 취약점을 성공적으로 악용한 공격자는 AntiXSS 라이브러리를 사용하여 사용자가 제공한 HTML을 삭제하는 XSS(사이트 간 스크립팅) 공격을 수행할 수 있습니다. 이로 인해 공격자는 삭제 기능을 통해 악성 스크립트를 전달하고 의도하지 않은 정보가 유출되도록 할 수 있습니다. 이러한 정보 노출의 결과는 정보 자체의 특성에 따라 좌우됩니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 생성할 수 있습니다.

이 취약점을 CVE(Common Vulnerabilities and Exposures) 목록의 표준 항목으로 보려면 CVE-2012-0007(영문)을 참조하십시오.

AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)에 대한 완화 요소

AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)에 대한 대안

AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)에 대한 FAQ

이 취약점을 악용하면 어느 작업까지 가능합니까?
이는 정보 유출 취약점입니다. 이 취약점을 성공적으로 악용한 공격자는 삭제 기능을 통해 악성 스크립트를 전달하고 의도하지 않은 정보가 유출되도록 할 수 있습니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 수집할 수 있습니다.

취약점의 원인은 무엇입니까?
이 취약점은 CSS 예외 처리된 문자가 감지된 후에 Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리가 특정 문자를 잘못 평가하기 때문에 발생합니다.

AntiXSS(사이트 간 스크립팅 방지) 라이브러리란 무엇입니까?
Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리는 개발자가 XSS 공격으로부터 ASP.NET 웹 기반 응용 프로그램을 보호하도록 디자인된 인코딩 라이브러리입니다. 이 라이브러리는 포함 원리라고도 하는 화이트리스트 기법을 사용하여 XSS 공격으로부터 보호한다는 측면에서 대부분의 인코딩 라이브러리와는 다릅니다. 이 접근 방법은 먼저 유효하거나 허용되는 문자 집합을 정의한 다음 이 집합 이외의 내용(유효하지 않은 문자 또는 잠재적인 공격)을 인코딩합니다. 이러한 화이트리스트 접근 방법은 다른 인코딩 기법에 비해 몇 가지 장점을 제공합니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까?
이 취약점을 성공적으로 악용한 공격자는 AntiXSS 라이브러리를 사용하여 사용자가 제공한 HTML을 삭제하는 XSS(사이트 간 스크립팅) 공격을 수행할 수 있습니다. 그러면 공격자는 삭제 기능을 통해 악성 스크립트를 전달하고 의도하지 않은 정보가 유출되도록 할 수 있습니다. 이러한 정보 노출의 결과는 정보 자체의 특성에 따라 좌우됩니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 수집할 수 있습니다.

공격자는 이러한 취약점을 어떻게 악용합니까?
이 취약점을 악용하기 위해 공격자는 AntiXSS 라이브러리의 삭제 모듈을 사용하는 대상 웹 사이트로 특수하게 조작된 HTML을 전송할 수 있습니다. AntiXSS 라이브러리가 HTML을 잘못 삭제하면 영향을 받는 웹 서버에서 특수하게 조작된 HTML 내에 포함되어 있는 악성 스크립트가 실행될 수 있습니다.

취약점으로 인해 위험에 노출되는 시스템은 주로 무엇입니까?
AntiXSS 라이브러리를 사용하는 웹 서버가 이 취약점으로 인한 위험에 노출됩니다.

업데이트는 어떤 기능을 수행합니까?
이 업데이트는 AntiXSS 라이브러리를 이 취약점의 영향을 받지 않는 버전으로 업그레이드하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까?
아니요. Microsoft는 조정된 취약점 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?
아니요. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 취약점이 고객을 공격하는 데 공개적으로 사용되었다는 정보를 확인하지 못했습니다.

기타 정보

감사의 말

고객 보호를 위해 협력해 주신 다음 분들께 감사드립니다.

AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)을 보고해 주신 IBM Rational Application Security의 Adi Cohen

MAPP(Microsoft Active Protections Program)

고객에 대한 보안을 강화하기 위해 Microsoft는 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약점 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약점 정보를 사용하여 안티바이러스, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침임 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면

Microsoft MAPP(Active Protections Program) 파트너(영문)

에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.

지원

기술 지원은 보안 지원 또는 1577-9700을 통해 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다. 사용 가능한 지원 옵션을 자세히 보려면 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원은 무료입니다. Microsoft 지원 부서에 연락하는 방법에 대한 자세한 내용은 국가별 기술 지원 웹 사이트에 나와 있습니다.

부인

Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

개정 내역

V1.0(2012년 1월 10일): 공지가 게시되었습니다.
V2.0(2012년 1월 11일): 원래 업그레이드 패키지인 AntiXSS 라이브러리 버전 4.2가 AntiXSS 라이브러리 버전 4.2.1로 교체되었음을 발표했습니다. AntiXSS 라이브러리의 모든 사용자는 AntiXSS 라이브러리 버전 4.2.1로 업그레이드해야 이 공지에서 설명한 취약점으로부터 보호할 수 있습니다. 자세한 내용은 업데이트 FAQ를 참조하십시오.
V2.1(2012년 1월 17일): 요약의 알려진 문제점에 Microsoft 기술 자료 문서 2607664 링크가 추가되었습니다. 또한 업데이트 FAQ의 항목을 수정해 AntiXSS 라이브러리 버전 4.2.1 업그레이드를 Microsoft 다운로드 센터에서만 제공하는 이유를 설명했습니다.