Microsoft 보안 공지 MS07-030 - 중요
Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점(927051)
Version: 1.1
일반 정보
요약
이 중요 업데이트는 조사 과정에서 확인된 기타 보안 문제점과 함께 비공개적으로 보고된 취약점 2건을 해결합니다. 이 비공개적으로 보고된 취약점으로 인해 사용자가 특수하게 조작된 Visio 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 이 취약점을 악용하려면 사용자 조작이 필요합니다.
이 보안 업데이트는 지원되는 Microsoft Visio 2002 및 Microsoft Office 2003 버전에 대해 중요입니다. 자세한 내용은 이 섹션에서 영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어 하위 섹션을 참조하십시오.
이 보안 업데이트는 Microsoft Visio에서 특수하게 조작된 Visio 파일을 처리하는 방식을 수정하여 취약점을 해결합니다. 취약점에 대한 자세한 내용은 다음 섹션, 취약점 정보에서 각 취약점 항목의 자주 제기되는 질문 사항(FAQ)를 참조하십시오.
권장 사항: 이 업데이트를 가능한 빨리 적용하도록 권장합니다.
알려진 문제점. 이 보안 업데이트를 설치할 때 고객이 겪을 수 있는 현재까지 알려진 문제점은 Microsoft 기술 자료 문서 927051에 나와 있습니다. 이 문서는 이러한 문제점에 대한 권장 해결 방법도 소개합니다.
영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어
다음 표의 영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어에서 나열되지 않은 버전은 지원 기간이 종료되었습니다. 사용 중인 제품과 버전에 대한 지원 기간을 확인하려면 Microsoft 지원 기간 정책 웹 사이트를 참조하십시오.
영향을 받는 소프트웨어
| Office 제품군 및 영향을 받는 기타 소프트웨어 | 응용 프로그램 | 최대 보안 영향 | 전체 심각도 | 이 업데이트로 대체된 공지 |
원격 코드 실행 | 중요 | 없음 | ||
Microsoft Office 2003 | 원격 코드 실행 | 중요 | 없음 |
영향을 받지 않는 소프트웨어
| Office 제품군 | 응용 프로그램 |
2007 Microsoft Office System | Microsoft Office Visio 2007 |
이 보안 업데이트와 관련된 자주 제기되는 질문 사항 |
취약점 정보
심각도 및 취약점 |
버전 번호 메모리 손상 취약점 - CVE-2007-0934 |
Microsoft Visio가 Visio(.VSD, .VSS 또는 .VST) 파일의 특수하게 조작된 버전 번호를 처리하는 방식에 원격 코드 실행 취약점이 존재합니다. 공격자는 Visio에서 파일의 내용을 처리할 때 버전 번호 필드의 유효성을 올바르게 검사하지 못하면 이 취약점을 악용할 수 있습니다. 이러한 특수하게 조작된 파일은 전자 메일 첨부 파일에 포함되거나 악성 또는 공격에 노출된 웹 사이트에서 호스팅될 수 있습니다.
이 취약점을 CVE(Common Vulnerabilities and Exposures) 목록의 표준 항목으로 보려면 CVE-2007-0934 (영문)를 참조하십시오.
버전 번호 메모리 손상 취약점 - CVE-2007-0934에 대한 완화 요소 |
버전 번호 메모리 손상 취약점 - CVE-2007-0934에 대한 대안 |
버전 번호 메모리 손상 취약점 - CVE-2007-0934에 대한 FAQ |
Visio 문서 패키징 취약점 - CVE-2007-0936 |
Microsoft Visio가 Visio 파일 형식으로 압축된 개체의 구문 분석을 올바르게 처리하지 못하기 때문에 Microsoft Visio에 원격 코드 실행 취약점이 존재합니다. 공격자는 사용자가 악성 웹 사이트를 방문하거나 전자 메일 메시지에 포함된 특수하게 조작된 Visio 첨부 파일을 열 경우 원격 코드 실행을 허용할 수 있는 악성 Visio(.VSD, .VSS 또는 .VST) 파일을 만들어 이 취약점을 악용할 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.
이 취약점을 CVE(Common Vulnerabilities and Exposures) 목록의 표준 항목으로 보려면 CVE-2007-0936 (영문)을 참조하십시오.
Visio 문서 패키징 취약점 - CVE-2007-0936에 대한 완화 요소 |
Visio 문서 패키징 취약점 - CVE-2007-0936에 대한 대안 |
Visio 문서 패키징 취약점 - CVE-2007-0936에 대한 FAQ |
업데이트 정보
검색, 배포 도구 및 지침 |
보안 업데이트 배포 |
영향을 받는 소프트웨어
영향을 받는 소프트웨어에 해당하는 특정 보안 업데이트에 대한 내용을 보려면 해당 섹션을 클릭하십시오.
Visio 2002 서비스 팩 2 |
참조 표
다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.
향후 서비스 팩에 포함 | 이 소프트웨어를 위한 서비스 팩은 더 이상 계획되어 있지 않습니다. 이 문제점에 대한 업데이트는 향후 업데이트 롤업에 포함될 수 있습니다. |
배포 |
|
사용자 개입 없이 설치 | Visio2002-KB931280-FullFile-ENU.exe /q:a |
다시 시작하지 않고 설치 | Visio2002-KB931280-FullFile-ENU.exe /r:n |
로그 파일 업데이트 | 해당 사항 없음 |
추가 정보 | 검색 및 배포에 대한 자세한 내용은 검색, 배포 도구 및 지침을 참조하십시오. 선택적으로 설치할 수 있는 기능에 대한 자세한 내용은 이 섹션에서 관리 설치의 Office 기능 하위 섹션을 참조하십시오. |
다시 시작 요구 사항 |
|
다시 시작 필요 | 다시 시작의 필요성을 줄이려면 영향을 받은 서비스를 모두 중지하고 보안 업데이트를 설치하기 전에 영향을 받은 파일을 사용하는 모든 응용 프로그램을 닫으십시오. 컴퓨터를 다시 시작하라는 메시지가 나타나는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 887012를 참조하십시오. |
핫패칭 | 해당 사항 없음 |
제거 정보 | 업데이트를 설치한 후에는 제거할 수 없습니다. 업데이트를 설치하기 이전으로 돌아가려면 응용 프로그램을 제거한 다음 원본 미디어에서 다시 설치해야 합니다. |
파일 정보 | 전체 파일 목록은 이 섹션의 파일 정보를 참조하십시오. |
레지스트리 키 확인 | 해당 사항 없음 |
파일 정보 |
관리 설치의 Office 기능 |
배포 정보 |
Visio 2003 서비스 팩 2 |
참조 표
다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.
향후 서비스 팩에 포함 | 이 문제점에 대한 업데이트는 향후 서비스 팩 또는 업데이트 롤업에 포함될 것입니다. |
배포 |
|
사용자 개입 없이 설치 | Visio2003-KB931281-FullFile-ENU.exe /q:a |
다시 시작하지 않고 설치 | Visio2003-KB931281-FullFile-ENU.exe /r:n |
로그 파일 업데이트 | 해당 사항 없음 |
추가 정보 | 검색 및 배포에 대한 자세한 내용은 검색, 배포 도구 및 지침을 참조하십시오. 선택적으로 설치할 수 있는 기능에 대한 자세한 내용은 이 섹션에서 관리 설치의 Office 기능 하위 섹션을 참조하십시오. |
다시 시작 요구 사항 |
|
다시 시작 필요 | 다시 시작의 필요성을 줄이려면 영향을 받은 서비스를 모두 중지하고 보안 업데이트를 설치하기 전에 영향을 받은 파일을 사용하는 모든 응용 프로그램을 닫으십시오. 컴퓨터를 다시 시작하라는 메시지가 나타나는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 887012를 참조하십시오. |
핫패칭 | 해당 사항 없음 |
제거 정보 | 제어판의 프로그램 추가/제거 도구를 사용하십시오. 참고 이 업데이트를 제거할 때 Microsoft Office XP CD를 CD 드라이브에 넣으라는 메시지가 표시될 수 있습니다. 제어판의 프로그램 추가/제거에서 업데이트를 제거하는 옵션이 표시되지 않을 수 있습니다. 이 문제의 가능한 원인은 여러 가지입니다. 제거에 대한 자세한 내용은 Microsoft 기술 자료 문서 903771을 참조하십시오. |
파일 정보 | 전체 파일 목록은 이 섹션의 파일 정보를 참조하십시오. |
레지스트리 키 확인 | 해당 사항 없음 |
파일 정보 |
관리 설치의 Office 기능 |
배포 정보 |
기타 정보
감사의 말
고객 보호를 위해 협력해 주신 다음 분들께 감사드립니다.
Visio 문서 패키징 취약점(CVE-2007-0936)을 보고해 주신 Vigilant Minds (영문)의 Chris Ries
지원
| • | 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다. |
| • | 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원은 무료입니다. Microsoft 지원 부서에 연락하는 방법에 대한 자세한 내용은 국가별 기술 지원 웹 사이트에 나와 있습니다. |
부인
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
개정 내역
| • | V1.0 (2007년 6월 12일): 공지가 게시되었습니다. |
| • | V1.1 (2008년 1월 17일): KB 문서 정보를 일반 정보 섹션의 알려진 문제점 영역에 추가하여 공지가 업데이트되었습니다. |