보안 권고
Microsoft 보안 권고 2749655
서명된 Microsoft 이진 파일에 영향을 주는 호환성 문제
게시 날짜: 2012년 10월 9일 | 업데이트: 2012년 12월 11일
버전: 2.0
일반 정보
요약
Microsoft는 적절한 타임스탬프 특성 없이 Microsoft에서 생성한 특정 디지털 인증서와 관련된 문제를 알고 있습니다. 이러한 디지털 인증서는 나중에 일부 Microsoft 핵심 구성 요소 및 소프트웨어 이진 파일에 서명하는 데 사용되었습니다. 이로 인해 영향을 받는 이진 파일과 Microsoft Windows 간에 호환성 문제가 발생할 수 있습니다. 이 문제는 보안 문제가 아니지만 Microsoft에서 생성하고 서명한 파일의 디지털 서명이 조기에 만료되므로 이 문제는 영향을 받는 Microsoft 구성 요소 및 보안 업데이트를 제대로 설치 및 제거하는 기능에 부정적인 영향을 줄 수 있습니다.
고객을 지원하기 위한 선제적 조치로 Microsoft는 지원되는 Microsoft Windows 릴리스에 대한 비보안 업데이트를 제공하고 있습니다. 이 업데이트는 Microsoft Windows와 영향을 받는 소프트웨어 이진 파일 간의 호환성을 보장하는 데 도움이 됩니다. 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 2749655 참조하세요.
또한 Microsoft는 이 문제의 영향을 받는 제품에 사용할 수 있게 됨에 따라 업데이트를 제공하고 있습니다. 이러한 업데이트는 고객의 요구에 따라 다시 릴리스된 업데이트의 일부로 제공되거나 다른 소프트웨어 업데이트에 포함될 수 있습니다.
권장 사항. 고객은 업데이트 관리 소프트웨어를 사용하거나 Microsoft 업데이트 서비스를 사용하여 업데이트를 검사 통해 이 문제를 즉시 해결하는 KB2749655 업데이트 및 다시 릴리스된 업데이트를 적용하는 것이 좋습니다. 자세한 내용은 이 공지 사항의 사용 가능한 재출판 목록 및 제안된 작업 섹션을 참조하세요.
사용 가능한 다시 릴리스 목록
경우에 따라 Microsoft는 고객의 요구를 가장 잘 충족하기 위해 영향을 받는 업데이트를 다시 릴리스하여 이 문제를 해결합니다.
- 2012년 10월 9일, Microsoft는 Windows XP용 KB723135 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-053을 참조하세요.
- 2012년 10월 9일 Microsoft는 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2에 대한 KB2705219 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-054를 참조하세요.
- 2012년 10월 9일 Microsoft는 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2에 대한 KB2731847 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-055를 참조 하세요.
- 2012년 10월 9일 Microsoft는 Microsoft Exchange Server 2007 서비스 팩 3(KB2756496), Microsoft Exchange Server 2010 서비스 팩 1(KB2756497) 및 Microsoft Exchange Server 2010 서비스 팩 2(KB2756485)에 대한 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-058을 참조하세요.
- 2012년 10월 9일, Microsoft는 Windows XP용 KB2661254 업데이트를 다시 릴리스했습니다. 자세한 내용은 Microsoft 보안 권고 2661254 참조하세요.
- 2012년 11월 13일, Microsoft는 KB2598361 업데이트를 Microsoft Office 2003 서비스 팩 3에 대한 KB2687626 업데이트로 대체했습니다. 자세한 내용은 MS12-046을 참조하세요.
- 12월 11일 2012년 Microsoft는 Microsoft Office 2003 서비스 팩 3에 설치할 때 KB2687324 업데이트를 Microsoft XML Core Services 5.0에 대한 KB2687627 업데이트로 바꾸고, 영향을 받는 모든 버전의 Microsoft Groove 2007, Microsoft Groove Server 2007과 함께 설치될 때 KB2596679 업데이트를 Microsoft XML Core Services 5.0용 KB2687497 업데이트로 대체했습니다. 및 Microsoft Office SharePoint Server 2007. 자세한 내용은 MS12-043을 참조하세요.
- 2012년 12월 11일, Microsoft는 영향을 받는 모든 Microsoft Office 2010 버전에 대해 KB2553260 및 KB2589322 업데이트를 각각 KB2687501 및 KB2687510 업데이트로 바꿉니다. 자세한 내용은 MS12-057을 참조하세요.
- 2012년 12월 11일, Microsoft는 영향을 받는 모든 Microsoft Visio 2010 버전에 대한 KB2687508 업데이트로 KB2597171 업데이트를 대체했습니다. 자세한 내용은 MS12-059를 참조하세요.
- 2012년 12월 11일, Microsoft는 영향을 받는 모든 Microsoft Office 2003, Microsoft Office 2003 웹 구성 요소 및 Microsoft SQL Server 2005의 영향을 받는 모든 변형에 대한 Windows 공용 컨트롤에 대한 KB2726929 업데이트로 KB2687323 업데이트를 대체했습니다. 자세한 내용은 MS12-060을 참조하세요.
원래 업데이트를 설치한 재출판 업데이트를 설치하지 않은 고객은 업데이트 로 해결된 취약성으로부터 보호됩니다. 그러나 실행 파일 이미지와 같이 잘못 서명된 파일은 원래 업데이트의 서명 프로세스에 사용된 CodeSign 인증서가 만료된 후 올바르게 서명된 것으로 간주되지 않으므로 Microsoft 업데이트는 만료 날짜 이후에 일부 보안 업데이트를 설치하지 않을 수 있습니다. 예를 들어 애플리케이션 설치 관리자가 오류 메시지를 표시할 수 있는 효과도 있습니다. 타사 애플리케이션 허용 목록 솔루션도 영향을 받을 수 있습니다. 다시 릴리스된 업데이트를 설치하면 영향을 받는 업데이트에 대한 문제가 해결됩니다.
권고 세부 정보
문제 참조
이 문제에 대한 자세한 내용은 다음 참조를 참조하세요.
| 참조 | ID |
|---|---|
| Microsoft 기술 자료 문서 | \ 2749655 2756872 |
영향을 받는 소프트웨어
이 권고와 관련된 업데이트는 다음 소프트웨어에 적용됩니다.
| 영향을 받는 소프트웨어 |
|---|
| 운영 체제 |
| Windows XP 서비스 팩 3\(KB2749655) |
| Windows XP Professional x64 Edition 서비스 팩 2\(KB2749655) |
| Windows Server 2003 서비스 팩 2\(KB2749655) |
| Windows Server 2003 x64 Edition 서비스 팩 2\(KB2749655) |
| Itanium 기반 시스템용 WINDOWS Server 2003 SP2\(KB2749655) |
| Windows Vista 서비스 팩 2\(KB2749655) |
| Windows Vista x64 Edition 서비스 팩 2\(KB2749655) |
| 32비트 시스템 서비스 팩 2\용 Windows Server 2008(KB2749655) |
| x64 기반 시스템 서비스 팩 2\용 Windows Server 2008(KB2749655) |
| Itanium 기반 시스템 서비스 팩 2\용 Windows Server 2008(KB2749655) |
| 32비트 시스템용 Windows 7\(KB2749655) |
| 32비트 시스템 서비스 팩 1\용 Windows 7(KB2749655) |
| x64 기반 시스템\용 Windows 7(KB2749655) |
| x64 기반 시스템 서비스 팩 1\용 Windows 7(KB2749655) |
| x64 기반 Systems\용 Windows Server 2008 R2(KB2749655) |
| x64 기반 시스템 서비스 팩 1\용 Windows Server 2008 R2(KB2749655) |
| Itanium 기반 시스템용 Windows Server 2008 R2\(KB2749655) |
| Itanium 기반 시스템 서비스 팩 1\용 Windows Server 2008 R2(KB2749655) |
| 32비트 시스템용 Windows 8\(KB2756872) |
| 64비트 시스템용 Windows 8\(KB2756872) |
| Windows Server 2012\(KB2756872) |
| Server Core 설치 옵션 |
| 32비트 시스템 서비스 팩 2용 Windows Server 2008(Server Core 설치)\ (KB2749655) |
| x64 기반 시스템 서비스 팩 2용 Windows Server 2008(Server Core 설치)\ (KB2749655) |
| x64 기반 시스템용 Windows Server 2008 R2(Server Core 설치)\ (KB2749655) |
| x64 기반 시스템 서비스 팩 1용 Windows Server 2008 R2(Server Core 설치)\ (KB2749655) |
| Windows Server 2012(Server Core 설치)\ (KB2756872) |
질문과 대답
Windows 8 및 Windows Server 2012에 대한 업데이트는 어디에 있나요?
Windows 8 및 Windows Server 2012에 대한 업데이트는 "Windows 8 클라이언트 및 Windows Server 2012 일반 공급 누적 업데이트"(KB2756872)에 포함되어 있습니다. 자세한 내용 및 다운로드 링크는 Microsoft 기술 자료 문서 2756872 참조하세요. 이러한 업데이트는 Microsoft 업데이트 및 Windows 업데이트 사용할 수도 있습니다.
권고의 범위는 무엇입니까?
이 권고의 목적은 적절한 타임스탬프 특성 없이 Microsoft에서 생성한 디지털 인증서로 서명된 이진 파일과 관련된 문제를 고객에게 알리는 것입니다.
고객을 지원하기 위한 선제적 조치로 Microsoft는 지원되는 Microsoft Windows 릴리스에 대한 비보안 업데이트를 제공하고 있습니다. 이 업데이트는 Microsoft Windows와 영향을 받는 소프트웨어 이진 파일 간의 호환성을 보장하는 데 도움이 됩니다.
Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
아니요. 이 업데이트는 Windows에서 보안 관련 기능을 개선하는 데 도움이 되도록 Microsoft 고객을 위한 기존 심층 방어 구성 요소를 개선합니다.
비보안 업데이트에 대한 보안 권고입니다. 모순이 아닌가요?
보안 권고는 보안 공지가 필요하지 않을 수 있지만 여전히 고객의 전반적인 보안에 영향을 줄 수 있는 보안 변경 사항을 해결합니다. 보안 권고는 Microsoft가 취약성으로 분류되지 않고 보안 공지가 필요하지 않을 수 있는 문제 또는 보안 공지가 릴리스되지 않은 문제에 대해 고객에게 보안 관련 정보를 전달하는 방법입니다. 이 경우 보안 업데이트를 포함하여 후속 업데이트를 수행할 수 있는 기능을 결정하는 업데이트의 가용성을 전달합니다. 따라서 이 권고는 특정 보안 취약성을 해결하지 않습니다. 오히려 전반적인 보안을 해결합니다.
Microsoft는 Windows Authenticode 서명 확인 기능을 사용하는 소프트웨어 및 구성 요소에 대한 장기적인 안정성과 호환성을 개선하기 위해 이 구성 요소에 대한 업데이트를 발행하고 있습니다.
이 문제의 원인은 무엇인가요?
이 문제는 Microsoft 핵심 구성 요소 및 소프트웨어의 인증서 생성 및 서명 중에 타임스탬프 EKU(고급 키 사용) 확장이 누락되어 발생합니다. 2012년 2개월 동안 사용된 일부 인증서에는 X.509 타임스탬프 EKU(고급 키 사용) 확장이 포함되어 있지 않습니다.
이 업데이트는 어떤 작업을 수행하나요?
이 업데이트는 타임스탬프 EKU(향상된 키 사용) 확장을 사용하지 않은 특정 인증서로 서명된 모든 소프트웨어의 지속적인 기능을 보장하는 데 도움이 됩니다. 기능을 확장하기 위해 WinVerifyTrust는 이러한 특정 X.509 서명에 대한 타임스탬프 EKU가 없다는 점을 무시합니다.
Microsoft가 이 문제를 해결하는 비보안 업데이트를 릴리스하는 경우 Microsoft도 공지를 다시 릴리스하는 이유는 무엇인가요?
이 업데이트는 Windows 또는 Internet Explorer에서 파일을 보거나 실행하는 경우와 같이 인증서가 Windows Authenticode 서명 확인을 사용하는 대부분의 경우를 해결합니다. 그러나 모든 인증서 사용 및 유효성 검사 함수가 해결되도록 하기 위해 영향을 받는 패키지 및 소프트웨어가 업데이트되거나 다시 릴리스되어 타사 CodeSign 확인이 올바르게 작동하는지 확인합니다.
이 업데이트를 설치하지 않으면 어떤 영향이 있나요?
이 업데이트가 없으면 실행 파일 이미지와 같이 잘못 서명된 파일은 서명 프로세스에 사용된 CodeSign 인증서가 만료된 후 올바르게 서명된 것으로 간주되지 않습니다. 예를 들어 이 업데이트가 설치되지 않은 경우 Windows 업데이트 만료 날짜 이후에 일부 보안 업데이트를 설치하지 않습니다. 예를 들어 애플리케이션 설치 관리자가 오류 메시지를 표시할 수 있는 효과도 있습니다. 타사 애플리케이션 허용 목록 솔루션도 영향을 받을 수 있습니다.
영향을 받는 코드 서명 인증서는 언제 만료되나요?
CodeSign 인증서에는 다양한 만료 날짜가 있습니다. 가장 빠른 만료 날짜는 2012년 11월입니다.
타임스탬프 EKU(고급 키 사용) 확장은 어떻게 사용합니까?
RFC3280 따라 타임스탬프 EKU(고급 키 사용) 확장은 개체의 해시를 시간에 바인딩하는 데 사용됩니다. 이러한 서명된 문은 특정 시점에 서명이 존재했음을 보여 줍니다. 코드 서명 인증서가 만료된 경우 코드 무결성 상황에서 인증서가 만료되기 전에 서명이 만들어졌는지 확인하는 데 사용됩니다. 인증서 타임스탬프에 대한 자세한 내용은 인증서 작동 방식 및 Windows Authenticode 이식 가능한 실행 파일 서명 형식을 참조하세요.
디지털 인증서란?
공개 키 암호화에서는 프라이빗 키라고 하는 키 중 하나를 비밀로 유지해야 합니다. 공개 키라고 하는 다른 키는 전 세계와 공유될 예정입니다. 그러나 키 소유자가 키가 속한 사람을 전 세계에 알릴 수 있는 방법이 있어야 합니다. 디지털 인증서는 이 작업을 수행하는 방법을 제공합니다. 디지털 인증서는 개인, 조직 및 컴퓨터의 온라인 ID를 인증하는 데 사용되는 전자 자격 증명입니다. 디지털 인증서에는 해당 인증서를 소유한 사람, 사용할 수 있는 항목, 만료되는 경우 등에 대한 정보와 함께 패키지된 공개 키가 포함되어 있습니다.
이 문제는 영향을 받는 인증서의 손상이 나타낸가요?
아니요. 영향을 받는 인증서는 어떤 방식으로도 손상되지 않으며 현재 고객에게 미치는 영향을 인식하지 않습니다.
Windows Authenticode 서명 확인 함수란?
Windows Authenticode 서명 확인 함수 또는 WinVerifyTrust는 지정된 개체에 대해 신뢰 확인 작업을 수행합니다. 함수가 있는 경우 작업 식별자를 지원하는 트러스트 공급자에게 문의를 전달합니다. WinVerifyTrust 함수는 지정된 개체에 대한 서명 검사 및 신뢰 확인 작업의 두 가지 작업을 수행합니다. 자세한 내용은 WinVerifyTrust 함수를 참조 하세요.
이 문제는 개발자에게 어떤 영향을 미치나요?
개발자는 애플리케이션에서 영향을 받는 재배포 가능 파일을 사용하는 경우 이 문제의 영향을 받을 수 있습니다. 개발자의 애플리케이션을 사용하는 시스템에 이 업데이트를 적용하면 문제가 해결됩니다. 또한 Microsoft는 영향을 받는 재배포 가능 패키지의 업데이트된 버전을 게시합니다. 개발자는 이를 애플리케이션의 향후 업데이트에 통합해야 합니다.
제안된 작업
지원되는 Microsoft Windows 릴리스에 대한 업데이트 적용
대부분의 고객은 자동 업데이트를 사용하도록 설정했으며 KB2749655 업데이트가 자동으로 다운로드되고 설치되므로 어떠한 조치도 취할 필요가 없습니다. 자동 업데이트를 사용하도록 설정하지 않은 고객은 업데이트를 검사 이 업데이트를 수동으로 설치해야 합니다. 자동 업데이트 의 특정 구성 옵션에 대한 자세한 내용은 Microsoft 기술 자료 문서 294871 참조하세요.
관리자 및 엔터프라이즈 설치 또는 업데이트를 수동으로 설치하려는 최종 사용자의 경우 고객은 업데이트 관리 소프트웨어를 사용하거나 Microsoft 업데이트 서비스를 사용하여 업데이트를 검사 통해 이 문제를 즉시 해결하는 KB2749655 업데이트 및 다시 출시된 업데이트를 적용하는 것이 좋습니다. 업데이트를 수동으로 적용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2749655 참조하세요.
추가 제안된 작업
PC 보호
고객이 방화벽을 사용하도록 설정하고, 소프트웨어 업데이트를 받고, 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 자세한 내용은 Microsoft 금고ty 및 Security Center를 참조하세요.
Microsoft 소프트웨어 업데이트 유지
Microsoft 소프트웨어를 실행하는 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Microsoft 업데이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. Microsoft 제품에 대한 업데이트를 제공하도록 자동 업데이트를 사용하도록 설정하고 구성한 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 업데이트가 설치되어 있는지 확인해야 합니다.
기타 정보
Feedback
- Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.
지원
- 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
- Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
부인
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
수정 내용
- V1.0(2012년 10월 9일): 공지 게시됨.
- V1.1(2012년 10월 9일): 이 권고와 관련된 Windows 8 및 Window Server 2012에 대한 업데이트가 "Windows 8 클라이언트 및 Windows Server 2012 일반 공급 누적 업데이트"(KB2756872)에 포함되어 있음을 명확히 했습니다. 이는 정보 변경에만 해당합니다. 자세한 내용은 권고 FAQ를 참조하세요.
- V1.2(2012년 11월 13일): MS12-046에 설명된 KB2687626 업데이트가 사용 가능한 재출판 목록에 추가되었습니다.
- V2.0(12월 11일, 2012): MS12-043에 설명된 KB2687627 및 KB2687497 업데이트, MS12-057에 설명된 KB2687501 및 KB2687510 업데이트, MS12-059에 설명된 KB2687508 업데이트 및 MS12-060에 설명된 KB2726929 업데이트가 사용 가능한 다시 릴리스 목록에 추가되었습니다.
2014-04-18T13:49:36Z-07:00에 빌드