Microsoft 보안 공지 MS07-010
Microsoft 맬웨어 방지 엔진의 취약점으로 인한 원격 코드 실행 문제점 (932135)
게시 날짜: 2007년 2월 13일
버전: 1.0
요약
이 내용을 읽어야 할 사람: Microsoft 맬웨어 방지 엔진을 사용하는 고객
취약점으로 인한 영향: 원격 코드 실행
최대 심각도: 긴급
권장 사항: 최신 Microsoft 맬웨어 방지 엔진 업데이트를 즉시 적용
보안 업데이트 대체: 없음
주의 사항: 없음
테스트된 소프트웨어 및 보안 업데이트 다운로드 위치:
영향을 받는 소프트웨어:
| • | Windows Live OneCare |
| • | Exchange Server 9.x용 Microsoft Antigen |
| • | SMTP Server 9.x용 Microsoft Antigen |
| • | Microsoft Windows Defender |
| • | Microsoft Windows Defender x64 Edition |
| • | Windows Vista의 Microsoft Windows Defender |
| • | Exchange Server 10용 Microsoft Forefront Security |
| • | SharePoint Server 10용 Microsoft Forefront Security |
영향을 받는 구성 요소:
위에 나열된 소프트웨어는 테스트를 거쳐 해당 버전이 영향을 받는지 확인되었습니다. 그 밖의 다른 버전은 더 이상 보안 업데이트가 지원되지 않거나 영향을 받지 않을 수 있습니다. 사용 중인 제품과 버전에 대한 지원 기간을 확인하려면 Microsoft 지원 기간 정책 웹 사이트를 참조하십시오.
요약:
이 업데이트는 새로 발견되어 공개적으로 보고된 Microsoft 맬웨어 방지 엔진의 취약점을 해결합니다. 취약점은 이 공지의 "취약점 세부 사항" 섹션에 설명되어 있습니다.
이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.
최신 Microsoft 맬웨어 방지 엔진 업데이트를 즉시 적용하도록 고객에게 권장합니다.
심각도 및 취약점:
이 등급은 이 취약점과 관련된 시스템 유형, 일반적인 배포 방법 및 취약점 악용이 시스템에 미치는 영향을 근거로 평가한 것입니다.
| 이 보안 업데이트와 관련된 자주 제기되는 질문 사항 |
Microsoft 맬웨어 방지 엔진을 사용하는 Microsoft 제품은 자동으로 업데이트됩니까?
다음 표는 이 보안 업데이트에 대한 배포 방법 요약입니다.
Windows Live OneCare | 예(Windows Live OneCare 자동 업데이트) | 1.1.2101.0 |
Exchange Server 9.x용 Microsoft Antigen | 예(Forefront Server 보안 업데이트 서비스) | 0.1.8.53 |
SMTP Server 9.x용 Microsoft Antigen | 예(Forefront Server 보안 업데이트 서비스) | 0.1.8.53 |
Microsoft Windows Defender | 예(Microsoft Update) | 1.1.2101.0 |
Windows Vista의 Microsoft Windows Defender | 예(Microsoft Update) | 1.1.2101.0 |
Microsoft Windows Defender x64 Edition | 예(Microsoft Update) | 1.1.2101.0 |
Exchange Server 10용 Microsoft Forefront Security | 예(Forefront Server 보안 업데이트 서비스) | 0.1.8.53 |
SharePoint Server 10용 Microsoft Forefront Security | 예(Forefront Server 보안 업데이트 서비스) | 0.1.8.53 |
참고 사용하는 엔진 버전이 위에 나와있는 엔진 버전 번호 이상인 경우 이 취약점의 영향을 받지 않으며 아무 조치를 취할 필요가 없습니다.
참고 Microsoft Antivirus 클라이언트 소프트웨어에 대해 자동 업데이트 또는 Microsoft Update를 사용하지 않도록 설정한 고객은 자동 업데이트를 다시 사용하도록 설정하거나 Microsoft Antivirus 클라이언트 소프트웨어를 수동으로 업데이트하여 업데이트된 Microsoft 맬웨어 방지 엔진을 받아야 합니다. Microsoft Antivirus 클라이언트 소프트웨어를 수동으로 업데이트하려면 영향을 받는 소프트웨어와 함께 제공된 제품 설명서를 참조하십시오.
참고 Microsoft Antigen 및 Microsoft Forefront의 경우 Microsoft 엔진은 자동으로 업데이트됩니다. 기본 설치에서 변경된 시스템의 경우 관리자 도구를 사용하여 수동 엔진 업데이트를 수행해야 합니다. 엔진을 사용하지 않도록 설정한 경우에는 다시 사용하도록 설정해야 하며 “지금 업데이트”를 클릭하여 즉시 업데이트해야 합니다. Microsoft Antigen Enterprise Manager를 사용하여 엔진을 업데이트하는 경우 사용자는 엔진 업데이트 재배포 작업(Engine Update Redistribution Job)을 선택하고 지금 실행(Run Now)을 클릭해야 합니다.
| Microsoft 맬웨어 방지 엔진 취약점 - CVE-2006-5270: |
Microsoft 맬웨어 방지 엔진에서 PDF(Portable Document Format) 파일을 구문 분석하는 방식 때문에 원격 코드 실행 취약점이 존재합니다. 공격자는 대상 컴퓨터에서 받아 Microsoft 맬웨어 방지 엔진에서 검사할 경우 원격 코드 실행을 잠재적으로 허용할 수 있는 특수하게 조작된 PDF 파일을 만들어 이 취약점을 악용할 수 있습니다.
| Microsoft 맬웨어 방지 엔진 취약점 - CVE-2006-5270에 대한 완화 요소: |
이 취약점에 대해 확인된 완화 요소가 없습니다.
| Microsoft 맬웨어 방지 엔진 취약점 - CVE-2006-5270에 대한 대안: |
| • | Exchange용 Microsoft Forefront Security Server, SharePoint용 Microsoft Forefront Security Server 및 Microsoft Antigen은 단일 시스템에서 Microsoft 맬웨어 방지 엔진에 추가하여 여러 안티바이러스 엔진을 지원합니다. 영향을 받는 시스템에서 여러 엔진을 사용할 수 있는 경우, 대안으로써 관리자는 Microsoft 맬웨어 방지 엔진이 업데이트될 때까지 Microsoft 맬웨어 방지 엔진을 사용하지 않도록 설정할 수 있습니다. Microsoft 맬웨어 방지 엔진을 사용하지 않도록 설정하기 전에 관리자는 해당 타사 엔진에 최신 바이러스 시그너처가 설치되어 있는지 확인해야 합니다. |
| • | Windows Live OneCare 및 Microsoft Windows Defender에 대해 확인된 대안이 없습니다. |
| Microsoft 맬웨어 방지 엔진 취약점 - CVE-2006-5270에 대한 FAQ: |
이 취약점을 악용하면 어느 작업까지 가능합니까?
Microsoft 맬웨어 방지 엔진에서 PDF(Portable Document Format) 파일을 구문 분석하는 방식 때문에 원격 코드 실행 취약점이 존재합니다. 공격자는 대상 컴퓨터에서 받아 Microsoft 맬웨어 방지 엔진에서 검사할 경우 원격 코드 실행을 잠재적으로 허용할 수 있는 특수하게 조작된 PDF 파일을 만들어 이 취약점을 악용할 수 있습니다.
취약점의 원인은 무엇입니까?
Microsoft 맬웨어 방지 엔진에서 특수하게 조작된 PDF 파일을 처리할 때 발생하는 정수 오버플로가 원인입니다.
Microsoft 맬웨어 방지 엔진이란 무엇입니까 ?
Microsoft 맬웨어 방지 엔진(mpengine.dll)은 다음과 같은 안티바이러스 및 안티스파이웨어 클라이언트에 검사, 검색 및 제거 기능을 제공합니다. Windows Live OneCare, Microsoft Forefront Security, Microsoft Antigen 및 Windows Defender.
공격자는 취약점을 악용하여 무엇을 할 수 있습니까?
이 취약점 악용에 성공한 공격자는 원격 코드를 실행하여 영향을 받는 시스템을 완전히 제어할 수 있습니다.
누가 취약점을 악용할 수 있습니까?
영향을 받는 시스템에 특수하게 조작된 PDF 파일을 보낼 수 있는 모든 익명 사용자가 이 취약점을 악용할 수 있습니다.
공격자는 이러한 취약점을 어떻게 악용합니까?
공격자는 특수하게 조작된 PDF 첨부 파일을 만들고 영향을 받는 시스템에서 PDF를 강제로 처리하도록 유도하여 취약점 악용을 시도할 수 있습니다. 대상 시스템에 설치되어 있는 Microsoft 맬웨어 방지 엔진이 해당 PDF 파일을 자동으로 검사하면, PDF 파일로 인해 영향을 받는 시스템에서 임의 코드 실행이 발생할 수 있습니다.
마지막으로, 공격자는 특수하게 조작된 PDF 파일을 웹 사이트를 통해 제공할 수도 있습니다. 공격자는 강제로 사용자가 특정 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 공격자의 사이트로 연결되는 링크를 눌러 공격자의 웹 사이트를 방문하도록 설득해야 합니다.
취약점으로 인해 노출되는 시스템은 주로 무엇입니까?
Microsoft 맬웨어 방지 엔진을 사용하고 PDF 파일 처리를 허용하도록 필터가 구성된 모든 Microsoft 안티바이러스 클라이언트가 위험에 노출됩니다.
업데이트는 어떤 기능을 수행합니까?
업데이트는 Microsoft 맬웨어 방지 엔진에서 데이터를 할당된 버퍼로 전달하기 전에 데이터 길이에 대한 유효성 검사 방식을 수정하여 정수 오버플로 취약점을 제거합니다.
이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까?
아니요. Microsoft는 신뢰할 수 있는 정보 공개를 통해 이 취약점 관련 정보를 입수하였습니다. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 취약점이 공개되었다는 정보를 확인하지 못했습니다. 이 보안 공지에서는 취약점 및 내부 조사를 통해 발견된 추가적인 문제를 해결합니다.
이 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?
아니요. Microsoft는 이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를 받지 못했으며, 이 보안 공지를 처음에 게시했을 때 개념 증명 코드의 예제를 보지 못했습니다.
영향을 받는 소프트웨어:
영향을 받는 소프트웨어에 해당하는 보안 업데이트에 대한 내용을 보려면 적절한 링크를 클릭하십시오.
전제 조건
이 보안 업데이트를 적용하려면 Windows Live OneCare가 필요합니다.
다시 시작 요구 사항
이 업데이트를 적용하기 위해 다시 시작할 필요는 없습니다. 설치 프로그램이 필요한 서비스를 중지하고 업데이트를 적용한 다음 서비스를 다시 시작합니다. 그러나 필요한 서비스를 중지할 수 없거나 필수 파일이 사용 중이면 다시 시작해야 합니다. 이러한 경우에는 다시 시작해야 한다는 메시지가 표시됩니다.
컴퓨터를 다시 시작하라는 메시지가 나타나는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 887012를 참조하십시오.
제거 정보
Windows 2000, Windows XP에서 Windows Live OneCare를 사용할 경우 이 업데이트는 제거할 수 없습니다.
Windows Vista에서 Windows Live OneCare를 사용할 때 이 업데이트는 제거할 수 없습니다.
업데이트 설치 확인
영향을 받는 시스템에 업데이트가 적용되었는지 확인하려면 다음 단계를 수행하십시오.
1. | 도움말, Windows Live OneCare 정보를 차례로 클릭합니다. |
2. | 버전 번호를 확인합니다. 바이러스 및 스파이웨어 정의 버전이 1.1.2101.0 이상이면 업데이트가 성공적으로 설치된 것입니다. |
| Exchange 9.x용 Microsoft Antigen |
전제 조건
이 보안 업데이트를 적용하려면 Exchange Server 9.x용 Microsoft Antigen이 필요합니다.
다시 시작 요구 사항
이 업데이트는 자동이며 다시 시작할 필요가 없습니다.
Forefront Server 보안 업데이트 서비스는 Exchange Servers용 Microsoft Antigen의 Microsoft Antivirus 엔진을 자동으로 업데이트합니다. 그러나 Microsoft Antigen을 실행하는 컴퓨터 시스템에서 Microsoft Antivirus 엔진을 사용하지 않도록 설정한 경우, 사용자는 관리자 도구를 사용하여 엔진을 다시 사용하도록 설정해야 합니다. 엔진을 다시 사용하도록 설정한 다음에는 “지금 업데이트”를 클릭하여 업데이트해야 합니다.
제거 정보
이 업데이트는 제거할 수 없습니다.
업데이트 설치 확인
영향을 받는 시스템에 업데이트가 적용되었는지 확인하려면 다음 단계를 수행하십시오.
1. | Antigen 관리자(Administrator)에서 스캐너 업데이트(Scanner Updates), Microsoft Antivirus를 차례로 클릭합니다. |
2. | 버전 번호를 확인합니다. Microsoft Antivirus 엔진 빌드 번호가 0.1.8.53 이상이면 업데이트가 성공적으로 설치된 것입니다. |
Microsoft Antigen 엔진을 구성하는 방법을 보려면 다음 Microsoft 웹 사이트 (영문)를 방문하십시오.
| SMTP 9.x용 Microsoft Antigen |
전제 조건
이 보안 업데이트를 적용하려면 SMTP Server 9.x용 Microsoft Antigen이 필요합니다.
다시 시작 요구 사항
이 업데이트는 자동이며 다시 시작할 필요가 없습니다.
Forefront Server 보안 업데이트 서비스는 SMTP Servers용 Microsoft Antigen의 Microsoft Antivirus 엔진을 자동으로 업데이트합니다. 그러나 Microsoft Antigen을 실행하는 컴퓨터 시스템에서 Microsoft Antivirus 엔진을 사용하지 않도록 설정한 경우, 사용자는 관리자 도구를 사용하여 엔진을 다시 사용하도록 설정해야 합니다. 엔진을 다시 사용하도록 설정한 다음에는 “지금 업데이트”를 클릭하여 업데이트해야 합니다.
제거 정보
이 업데이트는 제거할 수 없습니다.
업데이트 설치 확인
영향을 받는 시스템에 업데이트가 적용되었는지 확인하려면 다음 단계를 수행하십시오.
1. | Antigen 관리자(Administrator)에서 스캐너 업데이트(Scanner Updates), Microsoft Antivirus를 차례로 클릭합니다. |
2. | 버전 번호를 확인합니다. Microsoft Antivirus 엔진 빌드 번호가 0.1.8.53 이상이면 업데이트가 성공적으로 설치된 것입니다. |
Microsoft Antigen 엔진을 구성하는 방법을 보려면 다음 Microsoft 웹 사이트 (영문)를 방문하십시오.
| Microsoft Windows Defender 및 Windows Vista의 Windows Defender |
전제 조건
이 업데이트를 적용하려면 Windows Defender가 필요합니다.
다시 시작 요구 사항
이 업데이트를 적용하기 위해 다시 시작할 필요는 없습니다. 설치 프로그램이 필요한 서비스를 중지하고 업데이트를 적용한 다음 서비스를 다시 시작합니다. 그러나 필요한 서비스를 중지할 수 없거나 필수 파일이 사용 중이면 다시 시작해야 합니다. 이러한 경우에는 다시 시작해야 한다는 메시지가 표시됩니다.
컴퓨터를 다시 시작하라는 메시지가 나타나는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 887012를 참조하십시오.
제거 정보
Windows XP 또는 Windows Server 2003에서 이 업데이트를 제거할 수 없습니다.
이 업데이트는 Windows Vista에서 제거할 수 없습니다.
업데이트 설치 확인
영향을 받는 시스템에 업데이트가 적용되었는지 확인하려면 다음 단계를 수행하십시오.
1. | 도움말, Windows Defender 정보를 차례로 클릭합니다. |
2. | 버전 번호를 확인합니다. Microsoft Antivirus 엔진 빌드 번호가 1.1.2101.0 이상이면 업데이트가 성공적으로 설치된 것입니다. |
3. | |
4. | |
| Exchange Server 10용 Forefront Security |
전제 조건
이 업데이트를 적용하려면 Exchange Server 10용 Forefront Security가 필요합니다.
다시 시작 요구 사항
이 업데이트는 자동이며 다시 시작할 필요가 없습니다.
Forefront Server 보안 업데이트 서비스는 Exchange Servers용 Forefront Security의 Microsoft 맬웨어 방지 엔진을 자동으로 업데이트합니다. 그러나 Exchange Server용 Forefront Security를 실행하는 컴퓨터 시스템에서 Microsoft 맬웨어 방지 엔진을 사용하지 않도록 설정한 경우 사용자는 관리자 도구를 사용하여 엔진을 다시 사용하도록 설정해야 합니다. 엔진을 다시 사용하도록 설정한 다음에는 “지금 업데이트”를 클릭하여 업데이트해야 합니다.
제거 정보
이 업데이트는 제거할 수 없습니다.
업데이트 설치 확인
영향을 받는 시스템에 업데이트가 적용되었는지 확인하려면 다음 단계를 수행하십시오.
1. | Forefront 관리자(Administrator)에서 스캐너 업데이트(Scanner Updates), 맬웨어 방지 엔진(Antimalware Engine)을 차례로 클릭합니다. |
2. | 버전 번호를 확인합니다. Microsoft 맬웨어 방지 엔진 빌드 번호가 0.1.8.53 이상이면 업데이트가 성공적으로 설치된 것입니다. |
Exchange Server용 Forefront Server Security 엔진을 구성하는 방법을 보려면 다음 Microsoft 웹 사이트 (영문)를 방문하십시오.
| SharePoint Server 10용 Forefront Security |
전제 조건
이 업데이트를 적용하려면 SharePoint Server 10용 Forefront Security가 필요합니다.
다시 시작 요구 사항
이 업데이트는 자동이며 다시 시작할 필요가 없습니다.
Forefront Server 보안 업데이트 서비스는 SharePoint Servers용 Forefront Security의 Microsoft 맬웨어 방지 엔진을 자동으로 업데이트합니다. 그러나 SharePoint Server용 Forefront Security를 실행하는 컴퓨터 시스템에서 Microsoft 맬웨어 방지 엔진을 사용하지 않도록 설정한 경우 사용자는 관리자 도구를 사용하여 엔진을 다시 사용하도록 설정해야 합니다. 엔진을 다시 사용하도록 설정한 다음에는 “지금 업데이트”를 클릭하여 업데이트해야 합니다.
제거 정보
이 업데이트는 제거할 수 없습니다.
업데이트 설치 확인
영향을 받는 시스템에 업데이트가 적용되었는지 확인하려면 다음 단계를 수행하십시오.
1. | Forefront 관리자(Administrator)에서 스캐너 업데이트(Scanner Updates), Microsoft 맬웨어 방지 엔진(Microsoft Antimalware Engine)을 차례로 클릭합니다. |
2. | 버전 번호를 확인합니다. Microsoft 맬웨어 방지 엔진 빌드 번호가 0.1.8.53 이상이면 업데이트가 성공적으로 설치된 것입니다. |
SharePoint Server용 Forefront Server Security 엔진을 구성하는 방법을 보려면 다음 Microsoft 웹 사이트 (영문)를 방문하십시오.
감사의 말
고객 보호를 위해 협력해 주신 다음 분들께 감사드립니다.
| • | Microsoft Antivirus 엔진 취약점(CVE-2006-5270)을 보고해 주신 ISS X-Force (영문)의 Neel Mehta 및 Alex Wheeler |
기타 보안 관련 업데이트 받기:
기타 보안 문제 관련 업데이트는 다음 사이트에서 받을 수 있습니다.
지원:
| • | 기술 지원은 1577-9700을 통해 Microsoft 고객지원센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다. |
| • | 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원은 무료입니다. Microsoft 지원 부서에 연락하는 방법에 대한 자세한 내용은 국가별 기술 지원 웹 사이트에 나와 있습니다. |
보안 관련 자료:
Software Update Services:
관리자는 Microsoft Software Update Services(SUS)를 사용하여 Windows 2000 및 Windows Server 2003 기반 서버 그리고 Windows 2000 Professional 또는 Windows XP Professional을 실행하는 데스크톱 시스템에 최신 중요 업데이트와 보안 업데이트를 신속하고 안전하게 배포할 수 있습니다.
Software Update Services에서 보안 업데이트를 배포하는 방법에 대한 자세한 내용은 Software Update Services 웹 사이트를 참조하십시오.
Windows Server Update Services:
관리자는 WSUS(Windows Server Update Services)를 사용하여 Windows 2000 운영 체제 이상, Office XP 이상 그리고 Windows 2000 이상 운영 체제에 설치된 Exchange Server 2003 및 SQL Server 2000에 중요한 최신 업데이트 및 보안 업데이트를 신속하게 안정적으로 배포할 수 있습니다.
Windows Server Update Services를 사용하여 보안 업데이트를 신속하게 배포하는 방법에 대한 자세한 내용은 Windows Server Update Services 웹 사이트를 방문하십시오.
Systems Management Server:
Microsoft Systems Management Server(SMS)는 기업에서 업데이트 관리를 효율적으로 구성할 수 있는 솔루션입니다. 관리자는 SMS를 사용하여 보안 업데이트가 필요한 Windows 기반 시스템을 식별하고, 사용자의 업무 중단을 최소화하면서 기업 전체에 해당 업데이트를 효율적으로 배포할 수 있습니다. 관리자가 SMS 2003을 사용하여 보안 업데이트를 배포할 수 있는 방법에 대한 자세한 내용은 SMS 2003 보안 패치 관리 웹 사이트를 참조하십시오. SMS 2.0 사용자는 Software Updates Service 기능 팩 (영문)을 사용하여 보안 업데이트를 배포할 수도 있습니다. SMS에 대한 자세한 내용은 SMS 웹 사이트를 참조하십시오.
참고 SMS는 Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool 및 Enterprise Update Scanning Tool을 사용하여 보안 공지 업데이트 검색 및 배포를 위한 광범위한 지원을 제공합니다. 일부 소프트웨어 업데이트는 이러한 도구로 검색하지 못할 수도 있습니다. 이러한 경우 관리자는 SMS의 인벤토리 기능을 사용하여 특정 시스템을 대상으로 업데이트를 수행할 수 있습니다. 이 절차에 대한 자세한 내용은 다음 웹 사이트 (영문)를 참조하십시오. 일부 보안 업데이트 작업을 수행하려면 관리자 권한이 필요하며 컴퓨터를 다시 시작해야 할 수 있습니다. 관리자는 SMS 2003 Administration Feature Pack (영문) 및 SMS 2.0 Administration Feature Pack (영문)에서 제공되는 Elevated Rights Deployment Tool을 사용하여 이러한 업데이트를 설치할 수 있습니다.
부인:
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
개정판:
| • | V1.0 (2007년 2월 13일): 공지가 게시되었습니다. |
