이번주 화요일 패치 계획이 잡혔습니다. MS는 22개의 취약점을 고친다고 발표하였고, 이 중 몇가지는 윈도우의 접근권한을 허락하는 심각한 것입니다.

마이크로소프트의 공지에 따르면, 12개의 발표물중 3개는 회사의 높은 비율로 "심각"한 수준이라고 합니다.

이번달 패치는 MS사의 OS, IE, OFFICE 제품군, Visual Studio, IIS 를 포함하고 있습니다.


이번달의 패치 중 일부는 최근의 두 보안권고와 관련한 문제에 초점을 맞추었습니다. 2490606( 윈도우 그래픽 렌더링 엔진의 취약점) , 2488013 (인터넷 익스플로러의 취약점), 추가로 우리는 "IIS 7.0과 7.5에서 존재하는 FTP 서비스 문제" 를 해결할 것입니다.


그러나 가장 현재 가장 중요한 MHTML XSS 취약점은 이번달 고쳐지지 않는다는 것입니다.

지난주, MS는 모든 윈도우 버전의 심각한 익스플로잇 코드 취약점의 위험성에 대해 발표한 바 있습니다.


이 취약점은 피해PC가 다양한 사이트를 방문할 때 악성스크립트가 실행될 수 있습니다.

정보공개가 공개되었으며, 이것은 XSS 취약점과 매우 유사합니다. MS사는 정보를 통해 코드가 위험한지 증명(POC)  하였으나, 취약점의 익스플로잇 문제점은 발견하지 못하였습니다.

이 취약점은 MHTML을 MIME 형식으로 변환되어 문서를 포함한 컨텐츠를 방해할 수 있습니다. 이것은 피해PC의 IE 에서 Client 상의 스크립트가 Injection 되어 공격이 가능합니다. 이 스크립트는 자료를 속일 수도 있습니다. 정보가 공개되거나 유저의 어떠한 행동은 웹사이트의 영향을 받을 수 있습니다.


바로 이런 취약점을 빠뜨린 것입니다. MS는 다음 지침을 추천합니다.

MHTML 프로토콜을 제한 시키십시오.
인터넷 보안의 정도를 "높음" 으로 설정하여 ActiveX 컨트롤과 스크립팅을 막으십시오.
스크립팅이 실행되기전 인터넷과 인트라넷의 스크립팅 사용을 방지 하십시오

MS는 이러한 명령이 담긴 문서를 제2의 해결책으로써 발표하였습니다.



원문 : http://www.zdnet.com/blog/security/patch-tuesday-heads-up-critical-flaws-in-windows-internet-explorer/8059?tag=content;search-results-river

+ Recent posts