 Microsoft TechNet - 보안 > Microsoft Security Bulletin MS03-040 Internet Explorer 누적 패치처음 게시된 날짜: 2003년 10월 04일
 기술 세부 사항
이 패치는 Internet Explorer 5.01, 5.5 및 6.0용으로 이전에 발표된 모든 패치의 기능을 포함하는 누적 패치입니다. 또한 새로 발견된 다음과 같은 취약점도 해결합니다. :
위의 등급은 이 취약점과 관련된 시스템 유형, 일반적인 배포 방법 및 취약점이 악용될 때 시스템에 미치는 영향을 근거로 평가한 것입니다. 취약점 확인: Internet Explorer 버전 5.01 서비스 팩 3, Internet Explorer 5.01 서비스 팩 4, Internet Explorer 5.5 서비스 팩 2, Internet Explorer 6.0 및 Internet Explorer 6.0 서비스 팩 1이 이러한 취약점으로 인해 영향을 받는지 알아보기 위해 테스트를 실시했습니다. 이전 버전은 더 이상 지원되지 않으며, 이 취약점에 의해 영향을 받을 수도 있고 받지 않을 수도 있습니다. 자주 제기되는 질문 사항
http://www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&DisplayLang=en  Windows Server 2003 구성에서 Internet Explorer 보안 강화 구성을 사용하지 않는 경우가 있습니까? 예. Windows Server 2003을 터미널 서버로 배포한 시스템 관리자는 터미널 서버 사용자가 Internet Explorer를 제한되지 않는 모드로 사용할 수 있도록 Internet Explorer 보안 강화 구성을 해제할 수 있습니다.
CAN-2003-0838: 팝업 윈도우에서 개체 태그 취약점 이 취약점을 악용하여 어느 작업까지 가능합니까? 이것은 버퍼 오버런 취약점입니다. 침입자가 이 취약점을 성공적으로 악용하는 경우 침입자가 제어하는 사이트를 사용자가 방문하면 Internet Explorer는 로그온한 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다.
취약점의 원인은? Internet Explorer가 Window.CreatePopup 스크립트에 의해 만들어진 윈도우에서 개체 태그를 처리할 때 받을 수 있는 특수하게 만든 HTTP 응답을 Internet Explorer가 제대로 검사하지 못하기 때문에 취약점이 발생합니다.
Internet Explorer가 개체 태그를 처리하는 방식에 문제가 있습니까? Internet Explorer가 개체 유형을 확인하는 방식에 결함이 있습니다. Internet Explorer는 HTTP 응답에서 적절한 매개 변수 검사를 수행하지 않습니다. 응답은 특정 파일 형식을 가리켜 개체를 스크립트로 만든 다음 실행되도록 할 수 있습니다. 이로 인해 침입자는 사용자 시스템에서 임의의 코드를 실행할 수 있습니다.
침입자는 이러한 취약점을 악용하여 어떤 작업을 할 수 있습니까? 침입자는 이 취약점을 악용하여 Internet Explorer가 자신이 원하는 코드를 실행하도록 할 수 있습니다. 따라서 침입자는 사용자 시스템에서 현재 로그인한 사용자의 보안 환경 내에서 임의의 작업을 수행할 수 있습니다.
침입자는 이러한 취약점을 어떻게 악용합니까? 침입자는 특수하게 구성된 웹 페이지를 호스팅하여 이 취약점을 악용할 수 있습니다. 사용자가 이 웹 페이지를 방문하면 Internet Explorer에 오류가 발생하고 침입자는 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 또는, 침입자가 이 취약점을 악용하기 위해 HTML 전자 메일을 작성할 수도 있습니다.
패치는 어떤 기능을 합니까? 패치는 HTTP 응답을 받을 때 Internet Explorer가 적절한 검사를 수행하도록 하여 취약점을 해결합니다.
CAN-2003-0809: XML 데이터 바인딩에서 개체 태그 취약점 이 취약점을 악용하여 어느 작업까지 가능합니까? 이것은 버퍼 오버런 취약점입니다. 침입자가 이 취약점을 성공적으로 악용하는 경우 침입자가 제어하는 사이트를 사용자가 방문하면 Internet Explorer는 로그온한 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다.
취약점의 원인은? Internet Explorer가 XLM 데이터 바인딩을 사용하는 윈도우에서 개체 태그를 처리할 때 받을 수 있는 특수하게 만든 HTTP 응답을 Internet Explorer가 제대로 검사하지 못하기 때문에 취약점이 발생합니다.
XML 데이터 바인딩이란 무엇입니까? 웹페이지 제작자가 HTML 데이터를 XML 데이터 집합에 바인드 할 수 있도록 하는 기능입니다. 예를 들어 XML 데이터 집합이 변경되면 HTML 테이블을 업데이트 하도록 할 수 있습니다. 더 상세한 정보는 다음을 참조하십시요.
Internet Explorer가 XML 데이터 바인딩을 처리하는 방식에 문제가 있습니까? Internet Explorer가 개체 유형을 확인하는 방식에 결함이 있습니다. Internet Explorer는 HTTP 응답에서 적절한 매개 변수 검사를 수행하지 않습니다. 응답은 특정 파일 형식을 가리켜 개체를 스크립트로 만든 다음 실행되도록 할 수 있습니다. 이로 인해 침입자는 사용자 시스템에서 임의의 코드를 실행할 수 있습니다.
침입자는 이러한 취약점을 악용하여 어떤 작업을 할 수 있습니까? 침입자는 이 취약점을 악용하여 Internet Explorer가 자신이 원하는 코드를 실행하도록 할 수 있습니다. 따라서 침입자는 사용자 시스템에서 현재 로그인한 사용자의 보안 환경 내에서 임의의 작업을 수행할 수 있습니다.
침입자는 이러한 취약점을 어떻게 악용합니까? 침입자는 특수하게 구성된 웹 페이지를 호스팅하여 이 취약점을 악용할 수 있습니다. 사용자가 이 웹 페이지를 방문하면 Internet Explorer에 오류가 발생하고 침입자는 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 또는, 침입자가 이 취약점을 악용하기 위해 HTML 전자 메일을 작성할 수도 있습니다.
패치는 어떤 기능을 합니까? 패치는 HTTP 응답을 받을 때 Internet Explorer가 적절한 검사를 수행하도록 하여 취약점을 해결합니다.
우회방법 패치가 새로 게시되기 전까지 이 취약점에 대한 공격을 막을 수 있는 우회방법이 있읍니까?예, 그러나 이 우회방법은 공격경로를 차단하는 임시적인 조치일 뿐 취약성을 근본적으로 고치는 것은 아니라는 점을 명심해야 합니다. 마이크로소프트는 패치가 새로 게시되면 즉시 새로운 패치도 적용할 것을 권장합니다.
다음의 항목은 공격으로부터 컴퓨터를 보호하기 위해 도움이 되는 정보를 제공하기 위한 목적으로 작성되었읍니다.
인터넷과 로컬 인트라넷 영역에서 ActiveX 컨트롤 실행시에 확인창을 띄우도록 설정한다: 인터넷 보안영역 설정을 변경하여 ActiveX 컨트롤 실행시 확인창을 띄우도록 하면, 이 취약점으로 부터 컴퓨터를 보호하는데 도움이 됩니다.
http://support.microsoft.com/default.aspx?scid=kb;ko;307594Outlook Express 6.0에서 이기능을 사용하기 위해서는 다음의 기술 지원 문서를 참조하십시요: http://support.microsoft.com/default.aspx?scid=kb;ko;291387ActiveX의 실행시 확인을 요청하는 것에는 부수적인 효과가 있읍니까? 예, 많는 웹사이트가 추가적인 기능을 제공하기 위하여 ActiveX 컨트롤을 사용합니다. 예를 들면 온라인 전자상거래, 은행 사이트등은 메뉴, 구매 폼, 계정 표시등에 ActiveX 컨트롤을 사용할 수 있읍니다. ActiveX 컨트롤의 실행전 확인설정은 모든 인터넷, 인트라넷 사이트에 대해 전역적으로 설정됩니다. 이것을 설정하면 자주 이러한 확인창을 보게 됩니다. 방문하는 사이트를 신뢰할 수 있으면 확인창의 예 버튼을 누르십시요. 신뢰할 수 있는 사이트에 대해 확인창이 나타나도록 하지 않기 위해서는 "웹사이트를 신뢰할 수 있는 사이트로 제한 한다." 를 참조하십시요. 웹사이트를 신뢰할 수 있는 사이트로 제한하는 것에 부수적인 효과가 있습니까? 예. 실회할 수 있는 웹사이트에 포함되지 않는 사이트에서 ActiveX 컨트롤을 사용해야만 할 경우 웹페이지 기능이 제한을 받을 수 있습니다. 해당 사이트를 신뢰할 수 있는 사이트에 포함하면 페이지의 기능을 위해 필요한Active X 컨트롤을 다운로드 할 수 있습니다. 그러나 신뢰할 수 있는 사이트만 추가해야 합니다. 메일을 단순 텍스트로만 읽도록 하는 것에 부수적인 효과가 있습니까? 예. 단순 텍스트로 보여진 메일에는 그림, 특별한 폰트, 동영상 또는 기타 다른 내용이 표시 될 수 없습니다. 또한 추가적으로
이 패치에 관한 추가 정보
이 패치는 다음 환경에 설치할 수 있습니다. 이 문제에 대한 픽스는 Windows 2000 서비스 팩 5, Windows XP 서비스 팩 2 및 Windows Server 2003 서비스 팩 1에 포함될 것입니다. 재부팅 필요성: 재부팅해야 하며, 다음의 경우에는 재부팅 후 관리자로 로그온해야 합니다. 기술 자료 문서 811630에서 업데이트된 HTML 도움말 컨트롤을 설치하지 않은 경우 이 업데이트를 적용한 후 HTML 도움말 기능을 일부 사용하지 못할 수도 있습니다. 해당 기능을 복원하려면 업데이트된 HTML 도움말 컨트롤(811630)을 다운로드해야 합니다. 사용자는 최신 버전의 HTML 도움말을 설치한 경우 showHelp 메서드를 사용하여 도움말 파일을 열었을 때 다음과 같은 제한 사항이 적용된다는 사실을 알아야 합니다.
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실이나 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 주에서는 파생적 또는 부수적 손해에 대한 책임의 배제나 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다. 개정판: 최종 수정일 : 2003년 10월 04일 | |||||||||||||||||||||||||||||||||||||||||