• 아티클

보안 권고

Microsoft 보안 권고 973882

Microsoft ATL(Active Template Library)의 취약성으로 인해 원격 코드 실행이 허용됨

게시 날짜: 2009년 7월 28일 | 업데이트: 2009년 10월 13일

버전: 4.0

Microsoft는 MICROSOFT의 ATL(Active Template Library)의 퍼블릭 및 프라이빗 버전의 취약성에 대한 지속적인 조사에 대한 정보를 제공하기 위해 이 보안 권고를 릴리스합니다. 또한 이 권고는 개발자가 빌드한 컨트롤과 구성 요소가 ATL 문제에 취약하지 않도록 하기 위해 개발자가 할 수 있는 일에 대한 지침을 제공합니다. IT 전문가와 소비자가 취약성을 사용하는 잠재적인 공격을 완화하기 위해 수행할 수 있는 일 이 권고에 설명된 문제에 대한 지속적인 조사의 일환으로 Microsoft가 수행하는 작업 또한 이 보안 권고는 ATL의 취약성과 관련된 모든 Microsoft 보안 게시판 및 보안 업데이트 포괄적인 목록을 제공합니다. 프라이빗 및 퍼블릭 버전의 ATL에 대한 Microsoft의 조사가 진행 중이며, 조사 프로세스의 일부로 보안 업데이트 및 지침을 적절하게 릴리스할 예정입니다.

Microsoft는 공용 및 프라이빗 버전의 ATL에서 보안 취약성을 알고 있습니다. Microsoft ATL은 소프트웨어 개발자가 Windows 플랫폼에 대한 컨트롤 또는 구성 요소를 만드는 데 사용됩니다. 이 보안 권고 및 Microsoft 보안 공지 MS09-035 에 설명된 취약성으로 인해 취약한 버전의 ATL을 사용하여 빌드된 컨트롤 및 구성 요소에 대한 정보 공개 또는 원격 코드 실행 공격이 발생할 수 있습니다. ATL의 취약한 버전으로 만든 구성 요소 및 컨트롤은 ATL 사용 방법 또는 ATL 코드 자체의 문제로 인해 취약한 조건에 노출될 수 있습니다.

개발자 지침: Microsoft는 ATL의 공개 헤더에서 문제를 수정하고 MS09-035 공지의 라이브러리에 대한 업데이트를 릴리스했습니다. "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있습니다." MICROSOFT는 ATL을 사용하여 컨트롤 또는 구성 요소를 빌드한 개발자가 즉시 조치를 취하여 취약한 상태에 대한 노출에 대한 컨트롤을 평가하고, 제공된 지침에 따라 취약하지 않은 컨트롤 및 구성 요소를 만드는 것이 좋습니다. ATL의 문제를 해결하기 위한 취약성 및 지침에 대한 자세한 내용은 MS09-035, "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"을 참조하세요.

IT 전문가 및 소비자 지침: 개발자가 구성 요소 및 컨트롤을 업데이트하는 동안 고객을 더 잘 보호하기 위해 Microsoft는 새로운 심층 방어 기술을 개발했습니다. Internet Explorer에 기본 제공되는 이 새로운 심층 방어 기술은 이 권고 및 Microsoft 보안 게시판 MS09-035에 설명된 Microsoft Active Template Library 취약성을 사용하여 향후 공격으로부터 고객을 보호하는 데 도움이 됩니다. 이 새로운 심층 방어 기술을 활용하려면 IT 전문가와 소비자는 Microsoft 보안 게시판 MS09-034에서 제공하는 Internet Explorer 보안 업데이트인 "Internet Explorer에 대한 누적 보안 업데이트"를 즉시 배포해야 합니다.

이 보안 업데이트에는 취약한 ATL을 사용하여 빌드된 구성 요소 및 컨트롤이 Internet Explorer에서 악용되지 않도록 방지하고 관련 없는 여러 취약성을 해결하는 완화 기능이 포함되어 있습니다. MS09-034에서 제공되는 새로운 심층 방어 보호에는 Internet Explorer 5.01, Internet Explorer 6 및 Internet Explorer 6 서비스 팩 1, Internet Explorer 7 및 Internet Explorer 8에 대한 업데이트가 포함됩니다. 이러한 심층 방어 보호는 ActiveX의 킬 비트 보안 기능을 우회할 수 있는 취약성을 포함하여 알려진 모든 공용 및 개인 ATL 취약성의 성공적인 악용을 모니터링하고 방지하는 데 도움이 됩니다. 이러한 보호는 웹 기반 공격으로부터 고객을 보호하도록 설계되었습니다.

홈 사용자 지침: 개발자가 구성 요소 및 컨트롤을 업데이트하는 동안 고객을 더 잘 보호하기 위해 Microsoft는 새로운 심층 방어 기술을 개발했습니다. 새로운 업데이트를 통해 Internet Explorer에 기본 제공되는 이 새로운 심층 방어 기술은 이 권고 및 Microsoft 보안 게시판 MS09-035에 설명된 Microsoft Active Template Library 취약성을 사용하여 향후 공격으로부터 고객을 보호하는 데 도움이 됩니다. 자동 업데이트 등록한 홈 사용자는 새 Internet Explorer 업데이트를 자동으로 받게 되며 추가 작업을 수행할 필요가 없습니다. 홈 사용자는 이 보안 권고 및 Microsoft 보안 공지 MS09-035에서 해결된 취약성에 대한 향후 공격으로부터 자동으로 더 잘 보호됩니다.

취약한 버전의 Microsoft ATL(활성 템플릿 라이브러리)을 사용하여 빌드된 컨트롤 및 구성 요소의 완화 요소:

  • 기본적으로 대부분의 ActiveX 컨트롤은 Windows Vista 이상 운영 체제에서 실행되는 Internet Explorer 7 또는 Internet Explorer 8의 ActiveX 컨트롤에 대한 기본 허용 목록에 포함되지 않습니다. ActiveX 옵트인 기능을 사용하여 취약한 컨트롤을 명시적으로 승인한 고객만 이 취약성을 악용하려고 시도할 위험이 있습니다. 그러나 고객이 이전 버전의 Internet Explorer에서 이러한 ActiveX 컨트롤을 사용한 다음 나중에 Internet Explorer 7 또는 Internet Explorer 8로 업그레이드한 경우 고객이 ActiveX 옵트인 기능을 사용하여 명시적으로 승인하지 않은 경우에도 이러한 ActiveX 컨트롤이 Internet Explorer 7 및 Internet Explorer 8에서 작동하도록 설정됩니다.
  • 기본적으로 Internet Explorer 8은 Windows XP 서비스 팩 3, Windows Vista 서비스 팩 1 및 Windows Vista 서비스 팩 2 및 Windows 7에서 사용자에게 DEP/NX 메모리 보호를 사용하도록 설정하여 향상된 보호를 제공합니다.
  • 기본적으로 Windows Server 2003 및 Windows Server 2008의 Internet Explorer는 보안 강화 구성이라고 하는 제한된 모드에서 실행됩니다. 향상된 보안 구성은 사용자 또는 관리자가 서버에서 특별히 제작된 웹 콘텐츠를 다운로드하고 실행할 가능성을 줄일 수 있는 Internet Explorer의 미리 구성된 설정 그룹입니다. Internet Explorer 신뢰할 수 있는 사이트 영역에 추가하지 않은 웹 사이트의 완화 요소입니다. Internet Explorer 보안 강화 구성 관리도 참조하세요.
  • 기본적으로 지원되는 모든 버전의 Microsoft Outlook 및 Microsoft Outlook Express는 제한된 사이트 영역에서 HTML 전자 메일 메시지를 엽니다. 제한된 사이트 영역은 HTML 전자 메일 메시지를 읽을 때 활성 스크립팅 및 ActiveX 컨트롤이 사용되지 않도록 하여 이 취약성을 악용할 수 있는 공격을 완화하는 데 도움이 됩니다. 그러나 사용자가 전자 메일 메시지의 링크를 클릭하면 웹 기반 공격 시나리오를 통해 이 취약성을 악용하는 데 여전히 취약할 수 있습니다.
  • 웹 기반 공격 시나리오에서 공격자는 이 취약성을 악용하는 데 사용되는 웹 페이지가 포함된 웹 사이트를 호스트할 수 있습니다. 또한 사용자가 제공한 콘텐츠 또는 광고를 수락하거나 호스트하는 손상된 웹 사이트 및 웹 사이트에는 이 취약성을 악용할 수 있는 특별히 제작된 콘텐츠가 포함될 수 있습니다. 그러나 모든 경우에 공격자는 사용자가 이러한 웹 사이트를 방문하도록 강제할 방법이 없습니다. 대신, 공격자는 일반적으로 사용자를 공격자의 웹 사이트로 데려가는 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하도록 하여 사용자가 웹 사이트를 방문하도록 설득해야 합니다.
  • 이 취약성을 성공적으로 악용한 공격자는 로컬 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 자신의 계정이 시스템 관련 사용자 권한이 거의 없도록 구성되어있는 사용자는, 관리자 권한으로 작업하도록 구성되어있는 사용자보다 영향을 덜 받을 것입니다.

ATL과 관련된 업데이트:

2009년 10월 13일에 릴리스된 업데이트

  • Microsoft 보안 게시판 MS09-060, "Microsoft Office용 MICROSOFT ATL(Active Template Library) ActiveX 컨트롤의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 ATL 취약성의 영향을 받는 Microsoft Office 구성 요소를 지원합니다.

업데이트 2009년 8월 25일에 릴리스되었습니다.

  • Windows Live Messenger 14.0.8089는 이 권고에 설명된 ATL 취약성과 관련된 Windows Live Messenger 클라이언트의 취약성을 해결하기 위해 릴리스되고 있습니다.
  • Windows Live Hotmail "사진 첨부" 기능의 제거를 전달하고 Windows Live Messenger 14.0.8089 릴리스에 대한 세부 정보를 제공하기 위해 이 권고에 Windows Live 구성 요소에 대한 질문과 대답 섹션이 추가되었습니다.

2009년 8월 11일에 릴리스된 업데이트

  • Microsoft 보안 게시판 MS09-037, "MICROSOFT ATL(Active Template Library)의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 ATL 취약성의 영향을 받는 Windows 구성 요소를 지원합니다.
  • Microsoft 보안 게시판 MS09-035, "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"은 Visual Studio를 사용하여 스마트 디바이스용 ATL을 사용하여 모바일 애플리케이션에 대한 구성 요소 및 컨트롤을 만드는 개발자를 위한 새로운 업데이트를 제공하기 위해 다시 릴리스되고 있습니다.

업데이트 2009년 7월 28일에 릴리스됨

  • Microsoft 보안 게시판 MS09-035, "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"은 ATL의 특정 취약성에 대해 자세히 설명하고 공급업체가 업데이트된 구성 요소 및 컨트롤을 개발할 수 있도록 업데이트된 공용 ATL 헤더를 제공합니다. 조사 결과 이 문제의 영향을 받는 Microsoft 및 타사 구성 요소 및 컨트롤이 있으며 이러한 구성 요소 및 컨트롤이 지원되는 모든 Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008 버전에 있는 것으로 나타났습니다. 컨트롤 또는 구성 요소를 빌드할 때 취약한 버전의 ATL을 사용한 개발자는 이 공지를 검토하고 컨트롤이 취약한 경우 즉각적인 조치를 취해야 합니다.
  • Microsoft 보안 게시판 MS09-034" "Internet Explorer 누적 보안 업데이트"에는 취약한 ATL을 사용하여 빌드된 구성 요소 및 컨트롤이 Internet Explorer에서 악용되지 않도록 방지하고 관련 없는 여러 취약성을 해결하는 완화 기능이 포함되어 있습니다. MS09-034에서 제공되는 새로운 심층 보호에는 Internet Explorer 5.01, Internet Explorer 6 및 Internet Explorer 6 서비스 팩 1, Internet Explorer 7 및 Internet Explorer 8에 대한 업데이트가 포함됩니다. 이러한 심층 방어 보호는 ActiveX의 킬 비트 보안 기능을 우회할 수 있는 취약성을 포함하여 알려진 모든 공용 및 개인 ATL 취약성의 성공적인 악용을 모니터링하고 방지하는 데 도움이 됩니다. 이러한 보호는 웹 기반 공격으로부터 고객을 보호하도록 설계되었습니다.
  • Internet Explorer를 통해 공격이 성공할 수 있도록 하는 Windows 7에 포함된 방법이나 컨트롤은 인식하지 않습니다.

2009년 7월 14일에 릴리스된 업데이트

  • Microsoft 보안 게시판 MS09-032, "ActiveX Kill Bits의 누적 보안 업데이트"는 Msvidctl 컨트롤이 Internet Explorer에서 실행되지 않도록 하는 ActiveX 보안 조치(킬 비트)를 제공했습니다. msvidcntl의 악용은 프라이빗 버전의 ATL에서 취약성을 이용했습니다. 이 특정 인스턴스에서 취약성으로 인해 공격자가 메모리를 손상하여 원격 코드가 실행될 수 있습니다. msvidctl(MS09-032)에 대한 6월 릴리스에서 발급된 킬 비트는 여기에 설명된 대로 공용 악용을 차단합니다.

일반 정보

개요

권고의 목적: 이 권고는 고객에게 공개적으로 공개된 취약성에 대한 초기 알림을 제공하기 위해 릴리스되었습니다. 자세한 내용은 이 보안 권고의 해결 방법, 완화 요소제안된 작업 섹션을 참조하세요.

권고 상태: 공지 게시됨.

권장 사항: 제안된 작업을 검토하고 적절하게 구성합니다.

참조 ID
CVE 참조 CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
보안 게시판 MS09-035, "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"\ \ MS09-034, "Internet Explorer에 대한 누적 보안 업데이트"\ \ MS09-032, "ActiveX Kill Bits의 누적 보안 업데이트"
Microsoft 기술 자료 문서 MS09-035:\ Microsoft 기술 자료 문서 969706\ \ MS09-034:\ Microsoft 기술 자료 문서 972260\ \ MS09-032:\ Microsoft 기술 자료 문서 973346

이 권고에서는 다음 소프트웨어에 대해 설명합니다.

영향을 받는 소프트웨어
Microsoft Windows
취약한 활성 템플릿 라이브러리를 사용하여 만든 컨트롤 및 구성 요소
Microsoft Live 서비스
Windows Live Messenger(버전 14.0.8089 미만)
Windows Live Hotmail "사진 첨부" 기능

질문과 대답

권고의 범위는 무엇입니까?
Microsoft는 ATL(Active Template Library)의 퍼블릭 및 프라이빗 버전을 사용하여 빌드된 구성 요소 및 컨트롤에 영향을 주는 취약성을 알고 있습니다. 이 권고는 사용자가 취약한 제어 및 구성 요소의 위험을 완화하는 데 도움이 되는 업데이트를 인식하고, 취약한 ATL을 사용하여 컨트롤 및 구성 요소를 빌드한 개발자와 해당 환경에서 완화를 보호하고 설치하는 방법에 대한 IT 전문가에게 지침과 방향을 제공하는 것을 목표로 합니다.

Microsoft는 나중에 이 보안 권고와 관련된 추가 보안 업데이트를 릴리스할 예정입니까?
ATL의 프라이빗 및 퍼블릭 헤더에 대한 Microsoft의 조사가 진행 중이며 조사 프로세스의 일부로 보안 업데이트 및 지침을 적절하게 릴리스할 예정입니다.

msvidctl 취약성(MS09-032)이 이 ATL 업데이트와 관련이 있나요?
예, msvidctl의 악용은 ATL의 프라이빗 버전에서 취약성을 이용했습니다. 이 특정 인스턴스에서 취약성으로 인해 공격자가 메모리를 손상하여 원격 코드가 실행될 수 있습니다. 이전에 7월 14일 릴리스에서 발급된 MS09-032는 msvidctl에 대한 알려진 공격을 차단합니다. msvidctl의 악용에 대한 자세한 내용은 을 참조하세요 https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

Internet Explorer 업데이트(ms09-034)도 msvidctl 공격으로부터 보호합니까?
예, Internet Explorer 완화는 msvidctl 공격을 포함하여 공용 및 프라이빗 버전의 ATL에서 알려진 취약성의 악용으로부터 보호합니다.

ATL이란?
ATL(활성 템플릿 라이브러리)은 작고 빠른 COM(구성 요소 개체 모델) 개체를 만들 수 있는 템플릿 기반 C++ 클래스 집합입니다. ATL은 주식 구현, 이중 인터페이스, 표준 COM 열거자 인터페이스, 연결 지점, 분리 인터페이스 및 ActiveX 컨트롤을 비롯한 주요 COM 기능을 특별히 지원합니다. 자세한 내용은 MSDN 문서 ATL 을 참조하세요.

ATL에서 이 위협의 원인은 무엇인가요?
이 문제는 경우에 따라 ATL이 사용되는 방식과 ATL 코드 자체에 의해 발생합니다. 이러한 경우 데이터 스트림이 잘못 처리되어 보안 정책과 관계없이 메모리 손상, 정보 공개 및 개체 인스턴스화가 발생할 수 있습니다. ATL에서 해결된 취약성에 대한 자세한 내용은 MS09-035, "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"을 참조하세요.

활성 템플릿 라이브러리의 퍼블릭 버전과 프라이빗 버전 간의 차이점은 무엇인가요?
활성 템플릿 라이브러리의 프라이빗 버전은 Microsoft 개발자가 컨트롤 및 구성 요소를 빌드하는 데 사용됩니다. Microsoft는 개발자가 사용하는 모든 버전의 활성 템플릿 라이브러리를 업데이트했습니다.

활성 템플릿 라이브러리의 퍼블릭 버전은 Microsoft Visual Studio와 같은 개발자 도구를 통해 고객에게 배포됩니다. Microsoft는 Microsoft 보안 게시판 MS09-035를 통해 공개 ATL의 업데이트된 버전을 제공하고 있습니다.

ATL의 보안 취약성으로 Microsoft 및 타사 개발자가 보안 업데이트를 실행해야 합니까?
예. 이 권고에 설명된 공지 업데이트 외에도 Microsoft는 Microsoft 컨트롤 및 구성 요소에 대한 포괄적인 조사를 수행하고 있습니다. 이 조사가 완료되면 Microsoft는 고객을 보호하기 위해 적절한 조치를 취할 것입니다. 여기에는 월별 릴리스 프로세스를 통해 보안 업데이트를 제공하거나 고객의 요구에 따라 대역 외 보안 업데이트를 제공하는 것이 포함될 수 있습니다.

Microsoft는 또한 지침을 제공하고 있으며 주요 타사 개발자에게 적극적으로 연락하여 취약한 컨트롤 및 구성 요소를 식별할 수 있도록 돕고 있습니다. 이로 인해 타사 컨트롤 및 구성 요소에 대한 보안 업데이트가 발생할 수 있습니다.

Windows Live 서비스 대한 질문과 대답

Windows Live Messenger로의 업그레이드는 어떻게 배포되나요?
Windows Live Messenger 서비스에 로그인하면 지원되는 Windows 릴리스의 Windows Live Messenger 8.1, Windows Live Messenger 8.5 및 Windows Live Messenger 14.0 사용자는 Windows Live Messenger 서비스의 클라이언트 배포 메커니즘에 따라 Windows Live Messenger 14.0.8089로의 업그레이드를 수락하라는 메시지가 표시됩니다. 또한 Windows Live Messenger 14.0.8089로 업그레이드를 다운로드하려는 사용자는 Windows Live 다운로드 센터를 사용하여 즉시 다운로드할 수 있습니다. 그렇지 않으면 취약한 버전의 Windows Live Messenger 클라이언트 사용자는 Windows Live Messenger 서비스에 연결할 수 없습니다.

Microsoft가 Windows Live Messenger 서비스를 통해 Windows Live Messenger로 업그레이드를 릴리스하고 다운로드를 제공하는 이유는 무엇인가요?
Microsoft는 현재 Windows Live Messenger 서비스를 사용하여 Windows Live Messenger 클라이언트에 대한 업그레이드를 발급합니다. 이러한 온라인 서비스 자체 클라이언트 배포 메커니즘을 가지고 있기 때문입니다. 그러나 Microsoft 다운로드 센터 링크는 특정 Windows Live Messenger 클라이언트에서도 사용할 수 있습니다. 업그레이드를 즉시 다운로드하려는 사용자는 Windows Live 다운로드 센터에서 업그레이드를 수행할 수 있습니다.

업그레이드인 경우 취약한 버전의 Windows Live Messenger가 있는지 어떻게 감지할 수 있나요?
Windows Live Messenger 서비스에 로그온하려고 하면 클라이언트 배포 메커니즘이 현재 클라이언트 버전 및 플랫폼을 자동으로 결정하고 필요한 경우 적절한 업그레이드를 권장합니다. 또한 도움말을 클릭한 다음 정보(About)를 클릭하여 Windows Live Messenger 클라이언트 버전을 확인할 수 있습니다.

최신 버전의 Windows Live Messenger로 업그레이드하지 않으면 어떻게 되나요?
영향을 받지 않는 버전의 Windows Live Messenger 클라이언트로 업그레이드하지 않으면 플랫폼에 따라 로그온할 때마다 업그레이드하라는 알림이 표시됩니다. 업그레이드를 수락하지 않으면 Windows Live Messenger 서비스에 대한 액세스가 허용되지 않을 수 있습니다.

Windows Messenger 또는 Office Communicator와 같은 다른 Microsoft 실시간 공동 작업 애플리케이션이 이 취약성의 영향을 받나요?
아니요. 다른 메시징 애플리케이션은 취약한 구성 요소를 포함하지 않으므로 영향을 받지 않습니다.

Microsoft는 언제 Windows Live Hotmail "사진 첨부" 기능을 제거했나요? 다른 새로운 기능의 출시와 일치했나요?
Microsoft는 최근 문제를 해결하기 위해 단기간에 기능을 제거하기로 결정했습니다. 이 기능의 임시 제거는 다른 기능의 시작과 일치하지 않았습니다.

모든 Windows Live Hotmail 사용자에게 완전히 복원되는 "사진 첨부" 기능의 최신 시간표는 무엇인가요?
Microsoft는 문제를 해결하기 위해 적극적으로 노력하고 있습니다. 그 동안 첨부를 클릭한 다음 포함할 그림을 선택하여 핫메일 메시지에 그림을 첨부 파일로 추가할 수 있습니다.

Visual Studio 업데이트에 대한 개발자의 질문과 대답

ATL에서 이 위협의 원인은 무엇인가요?
이 문제는 경우에 따라 ATL이 사용되는 방식과 ATL 코드 자체에 의해 발생합니다. 이러한 경우 데이터 스트림이 잘못 처리되어 보안 정책과 관계없이 메모리 손상, 정보 공개 및 개체 인스턴스화가 발생할 수 있습니다. ATL에서 해결된 취약성에 대한 자세한 내용은 MS09-035, "Visual Studio 활성 템플릿 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"을 참조하세요.

공격자가 이 취약성을 사용하여 수행할 수 있는 작업은 무엇인가요?
ATL을 사용하여 빌드된 컨트롤 및 구성 요소의 경우 특정 매크로를 안전하지 않은 용도로 사용하면 Internet Explorer 내에서 관련 ActiveX 보안 정책(즉, 킬 비트)을 무시할 수 있는 임의의 개체를 인스턴스화할 수 있습니다. 또한 취약한 버전의 ATL을 사용하여 빌드된 구성 요소 및 컨트롤은 원격 코드 실행 또는 정보 공개 위협에 취약할 수 있습니다. 사용자가 관리자 권한으로 로그온되고 시스템에 취약한 제어 권한이 있는 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 그렇게 되면 공격자는 프로그램을 설치할 수 있고, 데이터를 열람하거나 변경 또는 삭제할 수 있으며, 모든 사용자 권한을 갖고 새 계정을 만들 수 있습니다. 자신의 계정이 시스템 관련 사용자 권한이 거의 없도록 구성되어있는 사용자는, 관리자 권한으로 작업하도록 구성되어있는 사용자보다 영향을 덜 받을 것입니다.

타사 애플리케이션 개발자이며 구성 요소 또는 컨트롤에서 ATL을 사용합니다. 내 구성 요소 또는 컨트롤이 취약하며, 그렇다면 어떻게 업데이트해야 하나요?
구성 요소 또는 컨트롤을 빌드하는 동안 특정 조건이 충족되는 경우 구성 요소 및 컨트롤이 이 문제의 영향을 받을 수 있습니다. MS09-035 에는 타사 개발자가 취약한 구성 요소 및 컨트롤을 검색하고 수정하는 데 사용할 수 있는 추가 정보, 예제 및 지침이 포함되어 있습니다.

Visual Studio용 보안 업데이트는 어떤 작업을 수행하나요?
이러한 업데이트는 인증되지 않은 원격 사용자가 영향을 받는 시스템에서 임의 코드를 실행할 수 있도록 하는 MICROSOFT ATL(Active Template Library)의 취약성을 해결합니다. 이러한 취약성은 경우에 따라 ATL이 사용되는 방식과 ATL 코드 자체에 의해 발생합니다. 이러한 취약성은 ATL에 영향을 주므로 ATL을 사용하여 개발된 구성 요소 또는 컨트롤은 영향을 받는 컨트롤 및 구성 요소를 사용하는 고객을 원격 코드 실행 시나리오에 노출할 수 있습니다.

Visual Studio의 보안 업데이트는 Visual Studio에서 사용하는 취약한 버전의 ATL을 업데이트합니다. 이렇게 하면 Visual Studio 사용자가 업데이트된 버전의 ATL을 사용하여 컨트롤 및 구성 요소를 수정하고 다시 빌드할 수 있습니다.

조사 결과 Microsoft 및 타사 구성 요소와 컨트롤이 모두 이 문제의 영향을 받을 수 있습니다. 따라서 영향을 받는 모든 공급업체는 Microsoft 보안 게시판 MS09-035에 제공된 수정된 ATL을 사용하여 해당 구성 요소 및 컨트롤을 수정하고 다시 빌드해야 합니다.

IT 전문가가 자신을 보호하기 위해 수행할 수 있는 일에 대한 질문과 대답

IE 업데이트 MS09-034는 취약한 버전의 ATL에서 빌드된 모든 구성 요소 및 컨트롤로부터 저를 보호하나요?
개발자가 구성 요소 및 컨트롤을 업데이트하는 동안 고객을 더 잘 보호하기 위해 Microsoft는 새로운 심층 방어 기술을 개발했습니다. Internet Explorer에 기본 제공되는 이 새로운 심층 방어 기술은 이 권고 및 Microsoft 보안 게시판 MS09-035에 설명된 Microsoft Active Template Library 취약성을 사용하여 향후 공격으로부터 고객을 보호하는 데 도움이 됩니다. Microsoft 보안 게시판 MS09-034" "Internet Explorer 누적 보안 업데이트"에는 취약한 ATL을 사용하여 빌드된 구성 요소 및 컨트롤이 Internet Explorer에서 악용되지 않도록 방지하고 관련 없는 여러 취약성을 해결하는 완화 기능이 포함되어 있습니다.

Microsoft는 모든 Microsoft 컨트롤 및 구성 요소를 계속 조사하고 있으며 타사 개발자가 컨트롤 및 구성 요소를 평가할 수 있도록 돕고 있습니다.

IT 전문가가 이 문제에 대한 노출을 완화하기 위해 취할 수 있는 조치는 무엇인가요?
Microsoft는 IT 전문가가 Microsoft 보안 게시판 MS09-034에서 제공하는 "Internet Explorer 누적 보안 업데이트"에서 제공하는 Internet Explorer 보안 업데이트를 즉시 배포하는 것이 좋습니다.

소비자가 자신을 보호하기 위해 무엇을 할 수 있는지에 대한 질문과 대답

소비자가 이 문제에 대한 노출을 완화하기 위해 취할 수 있는 조치는 무엇인가요?
개발자가 구성 요소 및 컨트롤을 업데이트하는 동안 고객을 더 잘 보호하기 위해 Microsoft는 새로운 심층 방어 기술을 개발했습니다. Internet Explorer에 기본 제공되는 이 새로운 심층 방어 기술은 이 권고 및 Microsoft 보안 게시판 MS09-035에 설명된 Microsoft Active Template Library 취약성을 사용하여 향후 공격으로부터 고객을 보호하는 데 도움이 됩니다. Microsoft는 소비자가 자동 업데이트를고 Microsoft 보안 공지 MS09-034" "Internet Explorer용 누적 보안 업데이트"에서 제공하는 Internet Explorer 보안 업데이트를 즉시 배포하는 것이 좋습니다. 업데이트를 자동으로 받는 홈 사용자는 누적 IE 업데이트 및 이 문제와 관련된 기타 보안 업데이트에 제공된 완화를 받게 되며 추가 조치를 취할 필요가 없습니다.

Microsoft는 또한 홈 사용자가 향상된 보안 및 보호를 활용하도록 Internet Explorer 8 로 업그레이드하도록 권장합니다.

Internet Explorer 업데이트의 완화에 대한 질문과 대답

ActiveX 보안을 우회할 수 있는 이 위협의 원인은 무엇인가요?
취약한 ATL 메서드로 빌드된 ActiveX 컨트롤은 정보의 유효성을 올바르게 검사하지 못할 수 있습니다. 이로 인해 메모리 손상을 허용하는 ActiveX 컨트롤이 발생하거나 공격자가 신뢰할 수 있는 ActiveX 컨트롤을 활용하여 이전에 Internet Explorer에서 실행되지 않도록 차단된 신뢰할 수 없는 ActiveX 컨트롤을 로드할 수 있습니다.

MS09-034에서 제공되는 새로운 심층 보호에는 IE 킬 비트 보안 기능을 우회할 수 있는 취약성을 포함하여 알려진 모든 공용 및 개인 ATL 취약성의 성공적인 악용을 모니터링하고 방지하는 Internet Explorer 5.01, Internet Explorer 6 및 Internet Explorer 6 서비스 팩 1, Internet Explorer 7 및 Internet Explorer 8에 대한 업데이트가 포함됩니다. 이러한 보호는 웹 기반 공격으로부터 고객을 보호하도록 설계되었습니다.

공격자가 이 함수를 사용하여 수행할 수 있는 작업은 무엇인가요?
Windows Vista 또는 Windows 2008에서 이 취약성을 성공적으로 악용한 공격자는 Internet Explorer의 보호 모드로 인해 제한된 사용자 권한만 얻습니다. 다른 Windows 시스템에서 공격자는 로컬 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 자신의 계정이 시스템 관련 사용자 권한이 거의 없도록 구성되어있는 사용자는, 관리자 권한으로 작업하도록 구성되어있는 사용자보다 영향을 덜 받을 것입니다.

공격자가 이 함수를 어떻게 사용할 수 있나요?
공격자는 특별히 제작된 ActiveX 컨트롤을 호스트하도록 설계된 웹 사이트를 호스트한 다음 사용자에게 웹 사이트를 보도록 설득할 수 있습니다. 여기에는 사용자가 제공한 콘텐츠 또는 광고를 수락하거나 호스트하는 손상된 웹 사이트 및 웹 사이트가 포함될 수도 있습니다. 그러나 모든 경우에 공격자는 사용자가 이러한 웹 사이트를 방문하도록 강제할 방법이 없습니다. 대신 공격자는 사용자가 웹 사이트를 방문하도록 설득해야 합니다. 일반적으로 사용자가 전자 메일 메시지의 링크를 클릭하거나 사용자를 공격자의 웹 사이트로 가져오는 인스턴트 메신저 요청으로 연결해야 합니다.

킬 비트란?
Microsoft Internet Explorer의 보안 기능을 사용하면 Internet Explorer HTML 렌더링 엔진에서 ActiveX 컨트롤이 로드되지 않도록 할 수 있습니다. 이 작업은 레지스트리 설정을 만들어서 수행하며 "kill 비트 설정"이라고 합니다. kill 비트가 설정되면 컨트롤이 완전히 설치되어 있더라도 컨트롤을 로드할 수 없습니다. kill 비트를 설정하면 취약한 구성 요소가 도입되거나 시스템에 다시 도입되더라도 불활성 및 무해한 기본 됩니다.

kill 비트 에 대한 자세한 내용은 Microsoft 기술 자료 문서 240797: Internet Explorer에서 ActiveX 컨트롤이 실행되지 않도록 중지하는 방법을 참조하세요. kill 비트에 대한 자세한 내용과 Internet Explorer 내에서의 작동 방식에 대한 자세한 내용은 다음 보안 연구 및 방어 블로그 게시물을 참조하세요.

업데이트는 무엇을 수행하나요?
이 업데이트는 특정 구성에서 취약한 ATL 헤더를 사용하여 ActiveX 컨트롤에서 안전하지 않은 메서드를 사용하는 경우 유효성 검사를 제공하여 ActiveX 보안 메커니즘을 강화합니다.

이 업데이트는 기능을 변경하나요?
예. 이 업데이트는 더 이상 Internet Explorer 내에서 특정 ATL 메서드 집합을 실행할 수 없습니다. 이 업데이트는 신뢰할 수 있는 ActiveX 컨트롤이 신뢰할 수 없는 컨트롤을 로드하지 못하도록 하여 활성 보안을 우회하는 위험을 완화합니다.

이 업데이트에 추가 소프트웨어 변경 내용이 포함되어 있나요?
예. 이 업데이트에는 Internet Explorer에 대한 누적 업데이트의 일부로 Internet Explorer에 대한 추가 보안 수정 및 기타 업데이트도 포함되어 있습니다.

이 업데이트는 안전하지 않은 모든 ActiveX 제어 시나리오를 해결하나요?
아니요. 이 업데이트는 특히 인터넷을 검색할 때 고객을 공격으로부터 보호하기 위해 이 권고에 설명된 ATL 문제에 취약할 수 있는 안전하지 않거나 신뢰할 수 없는 ActiveX 컨트롤을 해결합니다.

Microsoft는 이 문제를 계속 조사하고 있습니다. 이 조사가 완료되면 Microsoft는 고객을 보호하기 위해 적절한 조치를 취할 것입니다. 여기에는 월별 릴리스 프로세스를 통해 보안 업데이트를 제공하거나 고객의 요구에 따라 대역 외 보안 업데이트를 제공하는 것이 포함될 수 있습니다.

Windows Vista의 Internet Explorer 7 및 Internet Explorer 8의 보호 모드는 이 취약성으로부터 어떻게 보호됩니까?
Windows Vista 이상 운영 체제의 Internet Explorer 7 및 Internet Explorer 8은 기본적으로 인터넷 보안 영역에서 보호 모드로 실행됩니다. 보호 모드는 공격자가 사용자의 컴퓨터에서 데이터를 작성, 변경 또는 삭제하거나 악성 코드를 설치하는 기능을 크게 줄입니다. 이 작업은 Windows Vista 이상의 무결성 메커니즘을 사용하여 수행되며, 이는 무결성 수준이 높은 프로세스, 파일 및 레지스트리 키에 대한 액세스를 제한합니다.

DEP(데이터 실행 방지)란?
DEP(데이터 실행 방지)는 Internet Explorer 8에서 기본적으로 사용하도록 설정됩니다. DEP는 실행 불가능으로 표시된 메모리에서 코드가 실행되지 않도록 방지하여 포일 공격을 지원하도록 설계되었습니다. Internet Explorer의 DEP에 대한 자세한 내용은 다음 게시물을 https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx참조하세요.

제안된 작업

  • 이 권고와 관련된 Microsoft 기술 자료 문서를 검토합니다.

    ATL 문제에 대해 자세히 알아보고자 하는 고객은 Microsoft 기술 자료 문서 973882 검토해야 합니다.

  • 보안 게시판 MS09-034 및 MS09-035와 관련된 업데이트 적용

    영향을 받는 시스템을 사용하는 고객은 Microsoft 기술 자료 문서 969706 및 Microsoft 기술 자료 문서 972260에서 업데이트를 다운로드할 수 있습니다. Internet Explorer 업데이트는 Internet Explorer 7 및 8 내에서 취약한 ActiveX 컨트롤의 인스턴스화를 방지하는 새로운 완화 기능을 제공합니다. Visual Studio 업데이트를 사용하면 개발자가 이러한 취약성에 영향을 받지 않는 ActiveX 컨트롤을 만들 수 있습니다.

  • PC 보호

    고객이 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 고객은 컴퓨터 보호를 방문하여 이러한 단계에 대해 자세히 알아볼 수 있습니다.

  • 인터넷에서 안전하게 유지하는 방법에 대한 자세한 내용은 고객이 Microsoft Security Central을 방문해야 합니다.

  • Windows 업데이트d 유지

    모든 Windows 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Windows 업데이트 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. 자동 업데이트 사용하도록 설정된 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 설치해야 합니다.

해결 방법

Microsoft는 다음 해결 방법을 테스트했습니다. 이러한 해결 방법은 기본 취약성을 수정하지 않지만 알려진 공격 벡터를 차단하는 데 도움이 됩니다. 해결 방법으로 기능이 감소하면 다음 섹션에서 식별됩니다.

이러한 영역에서 ActiveX 컨트롤 및 활성 스크립팅을 실행하기 전에 인터넷 및 로컬 인트라넷 보안 영역 설정을 "높음"으로 설정

ActiveX 컨트롤 및 활성 스크립팅을 실행하기 전에 인터넷 보안 영역에 대한 설정을 변경하여 이 취약성으로부터 보호할 수 있습니다. 브라우저 보안을 높음으로 설정하여 이 작업을 수행할 수 있습니다.

Microsoft Internet Explorer에서 검색 보안 수준을 높이려면 다음 단계를 수행합니다.

  1. Internet Explorer 도구 메뉴에서 인터넷 옵션을 클릭합니다.
  2. 인터넷 옵션 대화 상자에서 보안 탭을 클릭한 다음 인터넷 아이콘을 클릭합니다.
  3. 이 영역의 보안 수준에서 슬라이더를 높음으로 이동합니다. 이렇게 하면 High를 방문하는 모든 웹 사이트의 보안 수준이 설정됩니다.

참고 슬라이더가 표시되지 않으면 기본 수준을 클릭한 다음 슬라이더를 높음으로 이동합니다.

수준을음으로 설정하면 일부 웹 사이트가 잘못 작동할 수 있습니다. 이 설정을 변경한 후 웹 사이트를 사용하는 데 어려움이 있고 사이트가 안전하게 사용할 수 있다고 확신하는 경우 해당 사이트를 신뢰할 수 있는 사이트 목록에 추가할 수 있습니다. 이렇게 하면 보안 설정이 높음으로 설정된 경우에도 사이트가 올바르게 작동할 수 있습니다.

해결 방법의 영향: ActiveX 컨트롤 및 활성 스크립팅을 실행하기 전에 프롬프트에 부작용이 있습니다. 인터넷 또는 인트라넷에 있는 많은 웹 사이트는 ActiveX 또는 활성 스크립팅을 사용하여 추가 기능을 제공합니다. 예를 들어 온라인 전자 상거래 사이트 또는 은행 사이트에서 ActiveX 컨트롤을 사용하여 메뉴, 주문 양식 또는 계정 명세서를 제공할 수 있습니다. ActiveX 컨트롤 또는 활성 스크립팅을 실행하기 전에 메시지를 표시하는 것은 모든 인터넷 및 인트라넷 사이트에 영향을 주는 전역 설정입니다. 이 해결 방법을 사용하도록 설정하면 메시지가 자주 표시됩니다. 각 프롬프트에 대해 방문 중인 사이트를 신뢰한다고 생각되면 [예]를 클릭하여 ActiveX 컨트롤 또는 활성 스크립팅을 실행합니다. 이러한 모든 사이트에 대한 메시지가 표시되지 않으려면 "신뢰할 수 있는 사이트를 Internet Explorer 신뢰할 수 있는 사이트 영역에 추가"에 설명된 단계를 사용합니다.

Internet Explorer 신뢰할 수 있는 사이트 영역에 신뢰할 수 있는 사이트 추가

Internet Explorer가 인터넷 영역 및 로컬 인트라넷 영역에서 ActiveX 컨트롤 및 활성 스크립팅을 실행하기 전에 프롬프트가 필요하도록 설정한 후에는 신뢰할 수 있는 사이트를 Internet Explorer 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 없는 사이트에 대한 이 공격으로부터 보호하는 동시에 현재와 똑같이 신뢰할 수 있는 웹 사이트를 계속 사용할 수 있습니다. 신뢰할 수 있는 사이트 영역에 신뢰할 수 있는 사이트만 추가하는 것이 좋습니다.

이를 수행하려면 다음 단계를 따릅니다.

  1. Internet Explorer에서 도구를 클릭하고 인터넷 옵션을 클릭한 다음 보안 탭을 클릭합니다.
  2. 웹 콘텐츠 영역 선택에서 현재 보안 설정 상자를 지정하고 신뢰할 수 있는 사이트를 클릭한 다음 사이트를 클릭합니다.
  3. 암호화된 채널이 필요하지 않은 사이트를 추가하려면 이 영역 검사 상자의 모든 사이트에 대해 서버 확인 필요(https:)를 선택 취소합니다.
  4. 영역에 이 웹 사이트 추가 상자에서 신뢰할 수 있는 사이트의 URL을 입력한 다음 추가를 클릭합니다.
  5. 영역에 추가하려는 각 사이트에 대해 이러한 단계를 반복합니다.
  6. 확인을 두 번 클릭하여 변경 내용을 적용하고 Internet Explorer로 돌아갑니다.

참고 컴퓨터에서 악의적인 작업을 수행하지 않도록 신뢰할 수 있는 사이트를 추가합니다. 특히 추가할 수 있는 두 가지는 *.windowsupdate.microsoft.com*.update.microsoft.com. 업데이트를 호스트할 사이트이며 업데이트를 설치하려면 ActiveX 컨트롤이 필요합니다.

활성 스크립팅을 실행하기 전에 프롬프트를 표시하거나 인터넷 및 로컬 인트라넷 보안 영역에서 활성 스크립팅을 사용하지 않도록 Internet Explorer 구성

활성 스크립팅을 실행하기 전에 확인하도록 Internet Explorer 설정을 변경하거나 인터넷 및 로컬 인트라넷 보안 영역에서 활성 스크립팅을 사용하지 않도록 설정하여 이 취약성으로부터 보호할 수 있습니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. Internet Explorer의 도구 메뉴에서 인터넷 옵션을클릭합니다.
  2. 보안 탭을 클릭합니다.
  3. 인터넷을 클릭한 다음 사용자 지정 수준을 클릭합니다.
  4. 설정 스크립팅 섹션의 활성 스크립팅에서 프롬프트 또는 사용 안 함을 클릭한 다음 확인을 클릭합니다.
  5. 로컬 인트라넷을 클릭한 다음 사용자 지정 수준을 클릭합니다.
  6. 설정 스크립팅 섹션의 활성 스크립팅에서 프롬프트 또는 사용 안 함을 클릭한 다음 확인을 클릭합니다.
  7. 확인을 두 번 클릭하여 Internet Explorer로 돌아갑니다.

인터넷 및 로컬 인트라넷 보안 영역에서 활성 스크립팅을 사용하지 않도록 설정하면 일부 웹 사이트가 잘못 작동할 수 있습니다. 이 설정을 변경한 후 웹 사이트를 사용하는 데 어려움이 있고 사이트가 안전하게 사용할 수 있다고 확신하는 경우 해당 사이트를 신뢰할 수 있는 사이트 목록에 추가할 수 있습니다. 이렇게 하면 사이트가 올바르게 작동할 수 있습니다.

해결 방법의 영향: 활성 스크립팅을 실행하기 전에 프롬프트에 부작용이 있습니다. 인터넷 또는 인트라넷에 있는 많은 웹 사이트는 활성 스크립팅을 사용하여 추가 기능을 제공합니다. 예를 들어 온라인 전자 상거래 사이트 또는 은행 사이트에서 활성 스크립팅을 사용하여 메뉴, 주문 양식 또는 계정 명세서를 제공할 수 있습니다. 활성 스크립팅을 실행하기 전에 메시지를 표시하는 것은 모든 인터넷 및 인트라넷 사이트에 영향을 주는 전역 설정입니다. 이 해결 방법을 사용하도록 설정하면 메시지가 자주 표시됩니다. 각 프롬프트에 대해 방문 중인 사이트를 신뢰한다고 생각되면 [예]를 클릭하여 활성 스크립팅을 실행합니다. 이러한 모든 사이트에 대한 메시지가 표시되지 않으려면 "신뢰할 수 있는 사이트를 Internet Explorer 신뢰할 수 있는 사이트 영역에 추가"에 설명된 단계를 사용합니다.

Internet Explorer 신뢰할 수 있는 사이트 영역에 신뢰할 수 있는 사이트 추가

Internet Explorer가 인터넷 영역 및 로컬 인트라넷 영역에서 ActiveX 컨트롤 및 활성 스크립팅을 실행하기 전에 프롬프트가 필요하도록 설정한 후에는 신뢰할 수 있는 사이트를 Internet Explorer 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 없는 사이트에 대한 이 공격으로부터 보호하는 동시에 현재와 똑같이 신뢰할 수 있는 웹 사이트를 계속 사용할 수 있습니다. 신뢰할 수 있는 사이트 영역에 신뢰할 수 있는 사이트만 추가하는 것이 좋습니다.

이를 수행하려면 다음 단계를 따릅니다.

  1. Internet Explorer에서 도구를 클릭하고 인터넷 옵션을 클릭한 다음 보안 탭을 클릭합니다.
  2. 웹 콘텐츠 영역 선택에서 현재 보안 설정 상자를 지정하고 신뢰할 수 있는 사이트를 클릭한 다음 사이트를 클릭합니다.
  3. 암호화된 채널이 필요하지 않은 사이트를 추가하려면 이 영역 검사 상자의 모든 사이트에 대해 서버 확인 필요(https:)를 선택 취소합니다.
  4. 영역에 이 웹 사이트 추가 상자에서 신뢰할 수 있는 사이트의 URL을 입력한 다음 추가를 클릭합니다.
  5. 영역에 추가하려는 각 사이트에 대해 이러한 단계를 반복합니다.
  6. 확인을 두 번 클릭하여 변경 내용을 적용하고 Internet Explorer로 돌아갑니다.

참고 컴퓨터에서 악의적인 작업을 수행하지 않도록 신뢰할 수 있는 사이트를 추가합니다. 특히 추가할 수 있는 두 가지는 *.windowsupdate.microsoft.com*.update.microsoft.com. 업데이트를 호스트할 사이트이며 업데이트를 설치하려면 ActiveX 컨트롤이 필요합니다.

기타 정보

리소스:

  • Microsoft 도움말 및 지원: 문의처를 방문하여 양식을 작성하여 피드백을 제공할 수 있습니다.
  • 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
  • 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원을 방문하세요.
  • Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

고지 사항:

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

개정:

  • V1.0(2009년 7월 28일): 공지 게시됨.
  • V2.0(2009년 8월 11일): MICROSOFT 보안 게시판 MS09-037의 릴리스를 전달하기 위해 ATL 섹션과 관련된 업데이트 항목을 추가하도록 권고가 수정되었습니다. "MICROSOFT ATL(Active Template Library)의 취약성으로 원격 코드 실행이 허용될 수 있음" 및 Microsoft 보안 게시판 MS09-035의 재시도, "Visual Studio Active Template Library의 취약성, 원격 코드 실행을 허용할 수 있음 " 추가 업데이트를 제공합니다.
  • V3.0(2009년 8월 25일): 권고는 Windows Live Messenger 14.0.8089 릴리스에 대한 세부 정보를 제공하고 Windows Live Hotmail "사진 첨부" 기능의 제거를 전달하도록 수정되었습니다.
  • V4.0(2009년 10월 13일): 권고는 MICROSOFT 보안 게시판 MS09-060의 릴리스를 전달하기 위해 ATL 섹션과 관련된 업데이트 항목을 추가하도록 수정되었습니다. "Microsoft Office용 MICROSOFT ATL(Active Template Library) ActiveX 컨트롤의 취약성으로 원격 코드 실행을 허용할 수 있습니다."

2014-04-18T13:49:36Z-07:00에 빌드