Microsoft 보안 공지 MS07-016

웹을 통한 공격의 경우 공격자는 호스팅하는 웹 사이트에 이 취약점을 악용하는 웹 페이지를 포함할 수 있습니다. 또한 사용자가 제공한 콘텐츠를 수락하거나 호스팅하는 사이트 또는 공격 당한 웹 사이트 및 광고 서버에는 이 취약점을 악용하도록 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

기본적으로 지원되는 모든 Microsoft Outlook 및 Microsoft Outlook Express 버전은 제한된 사이트 영역에서 HTML 메일 메시지를 엽니다. 제한된 사이트 영역은 HTML 전자 메일을 읽을 때 Active 스크립팅과 ActiveX 컨트롤을 사용하는 것을 방지하여 이 취약점을 악용하는 공격 성공 횟수를 줄이는 데 도움이 됩니다. 그러나 사용자가 메일에 포함된 링크를 클릭하면 웹 기반 공격 시나리오를 통해 이 문제점에 취약해질 수 있습니다.

기본적으로 Windows Server 2003의 Internet Explorer는 보안 강화 구성 (영문)으로 알려진 제한된 모드로 실행됩니다. 이 모드는 인터넷 영역이 보안 수준을 높음으로 설정합니다. 인터넷 영역의 신뢰할 수 있는 사이트 영역에 추가되지 않는 웹 사이트에 대한 완화 요소입니다. Internet Explorer 보안 강화 구성에 대한 자세한 내용은 이 취약점에 대한 FAQ 하위 섹션을 참조하십시오.

Internet Explorer에서 인스턴스화되지 않아야 하는 COM 개체는 Windows Internet Explorer 7의 기본 ActiveX 컨트롤 허용 목록에 포함되어 있지 않습니다. Windows Internet Explorer 7을 기본 설정으로 실행하는 고객은 인터넷 영역의 ActiveX 옵트인 기능을 사용하여 이러한 COM 개체를 활성화하지 않는 한 위험에 노출되지 않습니다. Internet Explorer 이전 버전에서 이러한 COM 개체를 활성화했고 Windows Internet Explorer 7로 업그레이드하는 고객은 Windows Internet Explorer 7에도 이러한 개체가 활성화되어 있습니다. ActiveX 옵트인 기능 (영문) 및 사전 허용된 목록에 ActiveX 컨트롤을 추가하는 방법에 대한 자세한 내용은 제품 설명서 (영문)를 참조하십시오.

Windows Vista의 Windows Internet Explorer 7은 이 취약점의 영향을 받지 않습니다.

ActiveX 컨트롤의 실행 여부를 묻도록 Internet Explorer를 구성하거나 인터넷 및 로컬 인트라넷 보안 영역에서 ActiveX 컨트롤을 사용하지 않도록 설정

ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 Internet Explorer 설정을 변경하면 이 취약점으로부터 시스템을 보호할 수 있습니다. 이를 수행하려면 다음 절차를 따르십시오.

대안의 영향: ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 부작용이 생깁니다. 인터넷 또는 인트라넷의 웹 사이트에서 추가 기능을 제공하기 위해 ActiveX를 사용하는 경우가 많습니다. 예를 들어 온라인 전자 상거래 사이트나 인터넷 뱅킹 사이트에서는 메뉴, 주문서, 계좌 내역을 제공하기 위해 ActiveX 컨트롤을 사용합니다. ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 인터넷 및 인트라넷 사이트 전체에 적용됩니다. 이 대안을 사용하면 확인 메시지가 자주 표시됩니다. 확인 메시지가 표시될 때마다 방문하는 사이트를 신뢰할 수 있다고 생각되면 예를 눌러 ActiveX 컨트롤을 실행하십시오. 이러한 사이트 모두에 대해 확인 메시지를 표시하지 않으려면 "신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가”에서 설명하는 절차를 사용하십시오.

신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가

Internet Explorer의 인터넷 영역과 로컬 인트라넷 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 사용자에게 묻도록 설정한 다음 원하는 경우 신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 있는 사이트를 지금과 똑같이 계속 사용하면서 신뢰할 수 없는 사이트에 대한 공격으로부터 시스템을 보호할 수 있습니다. 신뢰할 수 있는 사이트만 신뢰할 수 있는 사이트 영역에 추가할 것을 권장합니다.

이를 수행하려면 다음 절차를 따르십시오.

참고 신뢰할 수 있는 사이트를 모두 추가하여 사용자 시스템에 악의적인 행위를 취하지 못하도록 방지합니다. 특히 "*.windowsupdate.microsoft.com" 및 “*.update.microsoft.com” 두 사이트(따옴표 없이)는 추가하는 것이 좋습니다. 이 사이트는 업데이트를 호스팅하는 사이트이므로 업데이트를 설치하기 위해 ActiveX 컨트롤이 필요합니다.

인터넷 및 로컬 인트라넷 보안 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 이 영역의 설정을 “높음”으로 설정

ActiveX 컨트롤을 실행하기 전에 실행 여부를 사용자에게 묻도록 인터넷 보안 영역의 설정을 변경하면 이 취약점으로부터 시스템을 보호하는 데 도움이 됩니다. 브라우저 보안을 높음으로 설정하면 됩니다.

Microsoft Internet Explorer의 검색 보안 수준을 높이려면 다음과 같이 하십시오.

참고 슬라이더가 보이지 않으면 기본 수준을 클릭하고 슬라이더를 높음으로 움직입니다.

참고 수준을 높음으로 설정하면 일부 웹 사이트가 올바르게 작동하지 않을 수 있습니다. 이 설정을 변경한 후에 특정 웹 사이트가 원활하게 작동하지 않는 경우 해당 사이트의 안전을 확신한다면 이 사이트를 신뢰할 수 있는 사이트에 추가할 수 있습니다. 그러면 보안 설정을 높음으로 설정해도 해당 사이트가 올바르게 작동합니다.

대안의 영향: ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 부작용이 생깁니다. 인터넷 또는 인트라넷의 웹 사이트에서 추가 기능을 제공하기 위해 ActiveX를 사용하는 경우가 많습니다. 예를 들어 온라인 전자 상거래 사이트나 인터넷 뱅킹 사이트에서는 메뉴, 주문서, 계좌 내역을 제공하기 위해 ActiveX 컨트롤을 사용합니다. ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 인터넷 및 인트라넷 사이트 전체에 적용됩니다. 이 대안을 사용하면 확인 메시지가 자주 표시됩니다. 확인 메시지가 표시될 때마다 방문하는 사이트를 신뢰할 수 있다고 생각되면 예를 눌러 ActiveX 컨트롤을 실행하십시오. 이러한 사이트 모두에 대해 확인 메시지를 표시하지 않으려면 "신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가”에서 설명하는 절차를 사용하십시오.

신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가

Internet Explorer의 인터넷 영역과 로컬 인트라넷 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 사용자에게 묻도록 설정한 다음 원하는 경우 신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 있는 사이트를 지금과 똑같이 계속 사용하면서 신뢰할 수 없는 사이트에 대한 공격으로부터 시스템을 보호할 수 있습니다. 신뢰할 수 있는 사이트만 신뢰할 수 있는 사이트 영역에 추가할 것을 권장합니다.

이를 수행하려면 다음 절차를 따르십시오.

참고 신뢰할 수 있는 사이트를 모두 추가하여 사용자 시스템에 악의적인 행위를 취하지 못하도록 방지합니다. 특히 "*.windowsupdate.microsoft.com" 및 “*.update.microsoft.com” 두 사이트(따옴표 없이)는 추가하는 것이 좋습니다. 이 사이트는 업데이트를 호스팅하는 사이트이므로 업데이트를 설치하기 위해 ActiveX 컨트롤이 필요합니다.

Internet Explorer에서 COM 개체가 실행되지 않도록 설정

레지스트리에서 컨트롤에 킬(kill) 비트를 설정하여 Internet Explorer에서 COM 개체를 인스턴스화하지 않도록 설정할 수 있습니다.

경고 레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 할 만큼 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결 여부를 보장하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

Internet Explorer에서 컨트롤이 실행되지 않도록 설정하는 자세한 절차는 Microsoft 기술 자료 문서 240797을 참조하십시오. 이 절차에 따라 레지스트리에 Compatibility Flags 값을 만들어 COM 개체가 Internet Explorer에서 인스턴스화하는 것을 방지하십시오.

{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 값을 지닌 CLSID에 킬(kill) 비트를 설정하려면 다음 텍스트를 메모장과 같은 텍스트 편집기에 붙여 넣으십시오. 그런 다음 .reg 파일 이름 확장명을 사용하여 파일을 저장하십시오.

Windows 레지스트리 편집기 버전 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

두 번 클릭하여 이 .reg 파일을 개별 시스템에 적용할 수 있습니다. 그룹 정책을 사용하면 도메인 전체에 적용할 수도 있습니다. 그룹 정책에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

그룹 정책 컬렉션 (영문)

그룹 정책 개체 편집기란 무엇입니까? (영문)

핵심 그룹 정책 도구 및 설정 (영문)

참고 변경 내용을 적용하려면 Internet Explorer를 다시 시작해야 합니다.

COM 개체가 포함된 클래스 식별자 및 해당 파일은 “COM 개체 인스턴스화 메모리 손상 취약점 - CVE-2006-4697에 대한 FAQ”의 “업데이트는 어떤 기능을 수행합니까?”에 나와 있습니다.

대안의 영향: COM 개체를 Internet Explorer에서 사용하지 않는 한, 영향은 없습니다.

인터넷 영역의 보안 수준이 높음으로 설정됩니다. 이 설정은 스크립트, ActiveX 구성 요소, Microsoft VM(Microsoft Virtual Machine) HTML 콘텐트 및 파일 다운로드 기능을 해제합니다.

인트라넷 사이트 자동 검색은 사용하지 않도록 설정됩니다. 이 설정은 로컬 인트라넷 영역에 명시적으로 추가되지 않은 모든 인트라넷 웹 사이트 및 모든 UNC(Universal Naming Convention) 경로를 인터넷 영역에 할당합니다.

필요할 때 추가 설치 및 비 Microsoft 브라우저 확장 프로그램이 사용되지 않습니다. 이 설정을 사용하면 웹 페이지에서 구성 요소를 자동으로 설치하지 않으며 Microsoft 확장 프로그램이 아닌 프로그램은 실행되지 않습니다.

멀티미디어 콘텐츠를 사용하지 않도록 설정합니다. 이 설정으로 인해 음악, 애니메이션 및 비디오 클립이 실행되지 않습니다.

웹을 통한 공격의 경우 공격자는 호스팅하는 웹 사이트에 이 취약점을 악용하는 웹 페이지를 포함할 수 있습니다. 또한 사용자가 제공한 콘텐츠를 수락하거나 호스팅하는 사이트 또는 공격 당한 웹 사이트 및 광고 서버에는 이 취약점을 악용하도록 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

기본적으로 지원되는 모든 Microsoft Outlook 및 Microsoft Outlook Express 버전은 제한된 사이트 영역에서 HTML 메일 메시지를 엽니다. 제한된 사이트 영역은 HTML 전자 메일을 읽을 때 Active 스크립팅과 ActiveX 컨트롤을 사용하는 것을 방지하여 이 취약점을 악용하는 공격 성공 횟수를 줄이는 데 도움이 됩니다. 그러나 사용자가 메일에 포함된 링크를 클릭하면 웹 기반 공격 시나리오를 통해 이 문제점에 취약해질 수 있습니다.

기본적으로 Windows Server 2003의 Internet Explorer는 보안 강화 구성 (영문)으로 알려진 제한된 모드로 실행됩니다. 이 모드는 인터넷 영역이 보안 수준을 높음으로 설정합니다. 인터넷 영역의 신뢰할 수 있는 사이트 영역에 추가되지 않는 웹 사이트에 대한 완화 요소입니다. Internet Explorer 보안 강화 구성에 대한 자세한 내용은 이 취약점에 대한 FAQ 하위 섹션을 참조하십시오.

Internet Explorer에서 인스턴스화되지 않아야 하는 COM 개체는 Windows Internet Explorer 7의 기본 ActiveX 컨트롤 허용 목록에 포함되어 있지 않습니다. Windows Internet Explorer 7을 기본 설정으로 실행하는 고객은 인터넷 영역의 ActiveX 옵트인 기능을 사용하여 이러한 COM 개체를 활성화하지 않는 한 위험에 노출되지 않습니다. Internet Explorer 이전 버전에서 이러한 COM 개체를 활성화했고 Windows Internet Explorer 7로 업그레이드하는 고객은 Windows Internet Explorer 7에도 이러한 개체가 활성화되어 있습니다. ActiveX 옵트인 기능 (영문) 및 사전 허용된 목록에 ActiveX 컨트롤을 추가하는 방법에 대한 자세한 내용은 제품 설명서 (영문)를 참조하십시오.

Windows Vista의 Windows Internet Explorer 7은 이 취약점의 영향을 받지 않습니다.

ActiveX 컨트롤의 실행 여부를 묻도록 Internet Explorer를 구성하거나 인터넷 및 로컬 인트라넷 보안 영역에서 ActiveX 컨트롤을 사용하지 않도록 설정

ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 Internet Explorer 설정을 변경하면 이 취약점으로부터 시스템을 보호할 수 있습니다. 이를 수행하려면 다음 절차를 따르십시오.

대안의 영향: ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 부작용이 생깁니다. 인터넷 또는 인트라넷의 웹 사이트에서 추가 기능을 제공하기 위해 ActiveX를 사용하는 경우가 많습니다. 예를 들어 온라인 전자 상거래 사이트나 인터넷 뱅킹 사이트에서는 메뉴, 주문서, 계좌 내역을 제공하기 위해 ActiveX 컨트롤을 사용합니다. ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 인터넷 및 인트라넷 사이트 전체에 적용됩니다. 이 대안을 사용하면 확인 메시지가 자주 표시됩니다. 확인 메시지가 표시될 때마다 방문하는 사이트를 신뢰할 수 있다고 생각되면 예를 눌러 ActiveX 컨트롤을 실행하십시오. 이러한 사이트 모두에 대해 확인 메시지를 표시하지 않으려면 "신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가”에서 설명하는 절차를 사용하십시오.

신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가

Internet Explorer의 인터넷 영역과 로컬 인트라넷 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 사용자에게 묻도록 설정한 다음 원하는 경우 신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 있는 사이트를 지금과 똑같이 계속 사용하면서 신뢰할 수 없는 사이트에 대한 공격으로부터 시스템을 보호할 수 있습니다. 신뢰할 수 있는 사이트만 신뢰할 수 있는 사이트 영역에 추가할 것을 권장합니다.

이를 수행하려면 다음 절차를 따르십시오.

참고 신뢰할 수 있는 사이트를 모두 추가하여 사용자 시스템에 악의적인 행위를 취하지 못하도록 방지합니다. 특히 "*.windowsupdate.microsoft.com" 및 “*.update.microsoft.com” 두 사이트(따옴표 없이)는 추가하는 것이 좋습니다. 이 사이트는 업데이트를 호스팅하는 사이트이므로 업데이트를 설치하기 위해 ActiveX 컨트롤이 필요합니다.

인터넷 및 로컬 인트라넷 보안 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 이 영역의 설정을 “높음”으로 설정

ActiveX 컨트롤을 실행하기 전에 실행 여부를 사용자에게 묻도록 인터넷 보안 영역의 설정을 변경하면 이 취약점으로부터 시스템을 보호하는 데 도움이 됩니다. 브라우저 보안을 높음으로 설정하면 됩니다.

Microsoft Internet Explorer의 검색 보안 수준을 높이려면 다음과 같이 하십시오.

참고 슬라이더가 보이지 않으면 기본 수준을 클릭하고 슬라이더를 높음으로 움직입니다.

참고 수준을 높음으로 설정하면 일부 웹 사이트가 올바르게 작동하지 않을 수 있습니다. 이 설정을 변경한 후에 특정 웹 사이트가 원활하게 작동하지 않는 경우 해당 사이트의 안전을 확신한다면 이 사이트를 신뢰할 수 있는 사이트에 추가할 수 있습니다. 그러면 보안 설정을 높음으로 설정해도 해당 사이트가 올바르게 작동합니다.

대안의 영향: ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 부작용이 생깁니다. 인터넷 또는 인트라넷의 웹 사이트에서 추가 기능을 제공하기 위해 ActiveX를 사용하는 경우가 많습니다. 예를 들어 온라인 전자 상거래 사이트나 인터넷 뱅킹 사이트에서는 메뉴, 주문서, 계좌 내역을 제공하기 위해 ActiveX 컨트롤을 사용합니다. ActiveX 컨트롤을 실행하기 전에 실행 여부를 묻도록 설정하면 인터넷 및 인트라넷 사이트 전체에 적용됩니다. 이 대안을 사용하면 확인 메시지가 자주 표시됩니다. 확인 메시지가 표시될 때마다 방문하는 사이트를 신뢰할 수 있다고 생각되면 예를 눌러 ActiveX 컨트롤을 실행하십시오. 이러한 사이트 모두에 대해 확인 메시지를 표시하지 않으려면 "신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가”에서 설명하는 절차를 사용하십시오.

신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가

Internet Explorer의 인터넷 영역과 로컬 인트라넷 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 사용자에게 묻도록 설정한 다음 원하는 경우 신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 있는 사이트를 지금과 똑같이 계속 사용하면서 신뢰할 수 없는 사이트에 대한 공격으로부터 시스템을 보호할 수 있습니다. 신뢰할 수 있는 사이트만 신뢰할 수 있는 사이트 영역에 추가할 것을 권장합니다.

이를 수행하려면 다음 절차를 따르십시오.

참고 신뢰할 수 있는 사이트를 모두 추가하여 사용자 시스템에 악의적인 행위를 취하지 못하도록 방지합니다. 특히 "*.windowsupdate.microsoft.com" 및 “*.update.microsoft.com” 두 사이트(따옴표 없이)는 추가하는 것이 좋습니다. 이 사이트는 업데이트를 호스팅하는 사이트이므로 업데이트를 설치하기 위해 ActiveX 컨트롤이 필요합니다.

Internet Explorer에서 COM 개체가 실행되지 않도록 설정

레지스트리에서 컨트롤에 킬(kill) 비트를 설정하여 Internet Explorer에서 COM 개체를 인스턴스화하지 않도록 설정할 수 있습니다.

경고 레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 할 만큼 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결 여부를 보장하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

Internet Explorer에서 컨트롤이 실행되지 않도록 설정하는 자세한 절차는 Microsoft 기술 자료 문서 240797을 참조하십시오. 이 절차에 따라 레지스트리에 Compatibility Flags 값을 만들어 COM 개체가 Internet Explorer에서 인스턴스화하는 것을 방지하십시오.

{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 값을 지닌 CLSID에 킬(kill) 비트를 설정하려면 다음 텍스트를 메모장과 같은 텍스트 편집기에 붙여 넣으십시오. 그런 다음 .reg 파일 이름 확장명을 사용하여 파일을 저장하십시오.

Windows 레지스트리 편집기 버전 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

두 번 클릭하여 이 .reg 파일을 개별 시스템에 적용할 수 있습니다. 그룹 정책을 사용하면 도메인 전체에 적용할 수도 있습니다. 그룹 정책에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

그룹 정책 컬렉션 (영문)

그룹 정책 개체 편집기란 무엇입니까? (영문)

핵심 그룹 정책 도구 및 설정 (영문)

참고 변경 내용을 적용하려면 Internet Explorer를 다시 시작해야 합니다.

COM 개체가 포함된 클래스 식별자 및 해당 파일은 “COM 개체 인스턴스화 메모리 손상 취약점 - CVE-2006-4697에 대한 FAQ”의 “업데이트는 어떤 기능을 수행합니까?”에 나와 있습니다.

대안의 영향: COM 개체를 Internet Explorer에서 사용하지 않는 한, 영향은 없습니다.

인터넷 영역의 보안 수준이 높음으로 설정됩니다. 이 설정은 스크립트, ActiveX 구성 요소, Microsoft VM(Microsoft Virtual Machine) HTML 콘텐트 및 파일 다운로드 기능을 해제합니다.

인트라넷 사이트 자동 검색은 사용하지 않도록 설정됩니다. 이 설정은 로컬 인트라넷 영역에 명시적으로 추가되지 않은 모든 인트라넷 웹 사이트 및 모든 UNC(Universal Naming Convention) 경로를 인터넷 영역에 할당합니다.

필요할 때 추가 설치 및 비 Microsoft 브라우저 확장 프로그램이 사용되지 않습니다. 이 설정을 사용하면 웹 페이지에서 구성 요소를 자동으로 설치하지 않으며 Microsoft 확장 프로그램이 아닌 프로그램은 실행되지 않습니다.

멀티미디어 콘텐츠를 사용하지 않도록 설정합니다. 이 설정으로 인해 음악, 애니메이션 및 비디오 클립이 실행되지 않습니다.

웹 기반 공격 시나리오에서 공격자가 이 취약점을 악용하려면 이처럼 특수하게 조작된 FTP 서버 응답을 반환하는 FTP 서버를 호스팅해야 합니다. 공격자는 사용자가 이러한 FTP 서버를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 사이트를 방문하도록 유도하는 것이 일반적입니다.

취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

기본적으로 지원되는 모든 Microsoft Outlook 및 Microsoft Outlook Express 버전은 제한된 사이트 영역에서 HTML 메일 메시지를 엽니다. 제한된 사이트 영역은 HTML 전자 메일을 읽을 때 Active 스크립팅과 ActiveX 컨트롤을 사용하는 것을 방지하여 이 취약점을 악용하는 공격을 줄이는 데 도움이 됩니다. 그러나 사용자가 메일에 포함된 링크를 클릭하면 웹 기반 공격 시나리오를 통해 이 문제점에 취약해질 수 있습니다.

참고 Active 스크립팅이 없어도 이 취약점은 악용될 수 있습니다. 그러나 Active 스크립팅을 사용하면 취약점 악용 가능성이 크게 높아집니다. 그러므로 Windows Server 2003에서 이 취약점의 심각도는 긴급입니다.

기본적으로 Windows Server 2003의 Internet Explorer는 보안 강화 구성 (영문)으로 알려진 제한된 모드로 실행됩니다. 이 모드는 인터넷 영역이 보안 수준을 높음으로 설정합니다. 인터넷 영역의 신뢰할 수 있는 사이트 영역에 추가되지 않는 웹 사이트에 대한 완화 요소입니다. Internet Explorer 보안 강화 구성에 대한 자세한 내용은 이 취약점에 대한 FAQ 하위 섹션을 참조하십시오.

Outlook 2002 이상 버전 또는 Outlook Express 6 SP1 이상 버전을 사용하는 경우 HTML 메일 공격 경로로부터 시스템을 보호하려면 메일 메시지를 일반 텍스트 형식으로 읽습니다.

Office XP 서비스 팩 1 이상 버전을 적용한 Microsoft Outlook 2002 사용자와 Internet Explorer 6 서비스 팩 1 이상 버전을 적용한 Microsoft Outlook Express 6 사용자가 이 설정을 사용하면, 디지털 서명되지 않은 메일 메시지 또는 암호화되지 않은 메일 메시지를 모두 일반 텍스트로만 볼 수 있습니다.

디지털 서명된 메일 메시지 또는 암호화된 메일 메시지는 이 설정의 영향을 받지 않으므로 원래 형식으로 읽을 수 있습니다. Outlook 2002에서 이 설정을 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 307594를 참조하십시오.

Outlook Express 6에서의 이 설정에 대한 자세한 내용은 Microsoft 기술 자료 문서 291387을 참조하십시오.

대안의 영향: 메일 메시지를 일반 텍스트 형식으로 표시하면 그림, 특수 글꼴, 애니메이션을 비롯한 다양한 콘텐츠가 포함되지 않습니다. 다른 영향은 다음과 같습니다.

인터넷 영역의 보안 수준이 높음으로 설정됩니다. 이 설정은 스크립트, ActiveX 구성 요소, Microsoft VM(Microsoft Virtual Machine) HTML 콘텐트 및 파일 다운로드 기능을 해제합니다.

인트라넷 사이트 자동 검색은 사용하지 않도록 설정됩니다. 이 설정은 로컬 인트라넷 영역에 명시적으로 추가되지 않은 모든 인트라넷 웹 사이트 및 모든 UNC(Universal Naming Convention) 경로를 인터넷 영역에 할당합니다.

필요할 때 추가 설치 및 비 Microsoft 브라우저 확장 프로그램이 사용되지 않습니다. 이 설정을 사용하면 웹 페이지에서 구성 요소를 자동으로 설치하지 않으며 Microsoft 확장 프로그램이 아닌 프로그램은 실행되지 않습니다.

멀티미디어 콘텐츠를 사용하지 않도록 설정합니다. 이 설정으로 인해 음악, 애니메이션 및 비디오 클립이 실행되지 않습니다.