| Microsoft Security Bulletin MS01-038
Outlook View Control 이 불안전한 기능을 드러냄| 요약 | |  |
- 이 내용을 읽어야 할 대상: Microsoft® Outlook 98, 2000 또는 2002를 이용하는 고객.
- 취약점의 영향: 웹 페이지 또는 HTML 전자우편을 통한 침입자의 의도된 실행 코드.
- 권장 사항: 고객들은 Outloook 전자우편 보안 업데이트 (E-mail Security Update)의 설치를 확인해야 하고, 일시적으로 IE 인터넷 영역 (Internet Zone)에서 ActiveX 컨트롤 (control)을 금지시켜야 합니다.
- 영향 받는 소프트웨어: - Microsoft Outlook 98
- Microsoft Outlook 2000
- Microsoft Outlook 2002
 기술 세부 사항
기술적 설명:
Microsoft사의 Outlook View Control은 Outlook 메일 폴더가 웹 페이지를 통해 보이도록 지원하는 ActiveX 컨트롤입니다. 컨트롤은 메일 또는 캘린더 데이터의 보기와 같은 수동적인 작업만을 허용해야 합니다. 실제로, 이는 웹 페이지에 의한 Outlook 데이터의 조작을 허용하는 기능을 제공하며, 이로 인해 침입자는 사용자 기기에서 임의 코드의 실행을 포함하여, Outlook을 통한 메일의 삭제, 캘린더 정보의 변경, 또는 기타 액션을 취할 수 있습니다.
적의를 띤 웹 사이트는 이 취약점과 관련하여 가장 큰 위협이 됩니다. 사용자가 침입자에 의해 제어되는 웹 페이지를 방문하도록 유인을 받은 경우, 페이지를 열 때 페이지 상의 스크립트 또는 HTML이 기동할 수 있습니다. 스크립트 또는 HTML은 이후에 사용자의 Outlook 데이터에 대해 원하는 액션을 무엇이든 취하기 위한 컨트롤을 이용할 수 있습니다.
수신인이 메일을 열 때 컨트롤을 기동하려는 의도를 가지고, 침입자가 사용자에게 HTML 전자우편을 전송하는 것도 가능합니다. 그러나 Outlook 2000의 일환으로 자동적으로 설치되는 Outlook 전자우편 보안 업데이트 (Outlook E-mail Security Update)  는 그러한 침입을 막습니다. 업데이트는 ActiveX 컨트롤이 디폴트로 금지되는 제한된 사이트 영역 (Restricted Sites Zone)에서 HTML 전자우편이 열리도록 합니다.
Microsoft사는 취약점을 제거할 패치를 준비하고 있습니다. 그러나, 이 패치가 개발되는 동안, 고객들이 위에서 논의된 웹 기반의 시나리오에 대처하도록 인터넷 존에서 ActiveX 컨트롤을 통제할 것을 추천합니다. (FAQ는 이러한 구성상의 변경이 네트웍 전체에 대해 유효할 수 있도록 관리자에 의한 그룹 정책의 이용 방법에 관한 정보를 제공합니다). 메일 전송 시나리오에 대한 방어책으로, Outlook 98 및 2000 사용자들에게 Outlook 전자우편 보안 업데이트를 설치할 것을 강력히 추천하는 바입니다. 패치 준비가 완료될 때, Microsoft사는 이 게시 내용을 다시 발표하여 패치의 취득 위치 및 이용 방법에 관한 상세 내역을 제공할 것입니다.
문제점 예방 방법:취약점 확인:CAN-2001-0538  테스트 버전:
Microsoft사는 Outlook 98, 2000 및 2002가 이러한 취약점에 의해 영향을 받는지를 판단하기 위해 이들을 테스트하였습니다. 이전 버전들은 더 이상 지원되지(supported) 않으며, 이러한 취약점들에 의해 영향을 받을 수도 있고 그렇지 않을 수도 있습니다.
자주 발생하는 질문 사항
요약 부분에서 패치보다는 구성상의 변경에 관해 논의하고 있습니다. 이 이슈에 관한 패치가 왜 준비되어있지 않습니까?
이 취약점을 발견한 사람이 무책임하게 이를 처리하였으며, Microsoft사에 보고를 한 후 며칠 후에 바로 이 이슈를 고의적으로 공론화하였습니다. 이와 같이 한정된 시간 내에 패치의 구축, 테스트 및 발표를 하면서 합당한 품질 표준을 충족하기란 거의 불가능합니다.
진행 중인 패치를 보유하고 있으며, 가능한 한 빨리 이를 발표할 것입니다. 한편, 아래에서 논의되는 임시 변통의 절차를 통해, 이 이슈에 관심이 있는 고객이 자신의 시스템을 보호할 수 있습니다. 패치가 완성될 때, 이 게시 내용을 다시 발표하면서 이의 획득 방법에 관한 정보를 제공할 것입니다.
이 취약점의 유효 범위는 어디까지 입니까?이 취약점으로 인해 침입자는 Outlook을 통해 원하는 액션을 취할 수 있습니다. 이는 사용자 기기에서 임의의 코드 실행 등 Outlook을 통해 취할 수 있는 메일의 읽기 또는 삭제, 캘린더 또는 연락처 정보의 변경, 혹은 기타 액션을 포함하고 있습니다.
취약점의 유용을 위해, 침입자는 사용자가 특정의 웹 사이트를 방문하도록 유혹하거나, 사용자에게 특수하게 고안된 전자우편을 전송할 필요가 있습니다. 두번째 시나리오에 대해서는, 1년 전에 발표된 보안 업데이트가 사용자의 시스템을 완벽하게 보호하고 있습니다.
취약점을 야기하는 원인은 무엇입니까?Outlook에 의해 설치되는 ActiveX 컨트롤이 다른 사용자 시스템에서 침입자가 원하는 코드를 실행할 수 있도록 불안전한 기능을 드러냄으로 인해 취약점이 나타납니다.
ActiveX란 무엇입니까?ActiveX 는 개발자가 웹 페이지, 비쥬얼 베이직 프로그램 및 기타 어플리케이션에 의해 이용될 수 있는 컨트롤 (제어) 이라는 작은 프로그램의 작성을 지원하는 기술입니다. ActiveX 컨트롤은 몇 가지 연관된 작업을 수행하며, 보다 복잡한 프로그램의 구축용 블록으로 이용될 수 있습니다.
개발자는 주문형 ActiveX 컨트롤들을 구축할 수 있습니다; 이것이 처리되는 경우, 컨트롤은 각 사용자에게 분배되어야 합니다. 그러나 Microsoft사와 많은 제 3의 소프트웨어 업체는 자신들의 제품에 대한 용이한 확장을 위해 ActiveX 컨트롤들을 함께 제공합니다. 이 경우 취약점은 Outlook 2002의 일환으로 디폴트로 설치되는 ActiveX 컨트롤을 포함하고 있으나, Outlook 98과 2000에도 영향을 줍니다.
여기서 이슈화된 ActiveX 컨트롤은 무엇입니까?그것은 Microsoft사의 Outlook View Control (Microsoft Outlook View Control) 입니다. 그 목적은 Oultlook에서 오는 정보를 웹 브라우저 내에서 화면 출력하는 것입니다. 일례로, 이 컨트롤을 이용함으로써, 웹 페이지는 사용자에게 자신의 Outlook에서 받은 편지함의 내용을 보여줄 수 있습니다.
컨트롤에 있어 무엇이 문제입니까?컨트롤은 웹 페이지가 사용자를 위해 단순한 화면 출력 이상의 작업을 할 수 있게 해주는 기능을 제공합니다. 이는 메일, 캘린더 정보, 연락처 등 사용자의 Outlook 데이터에 대한 조작을 포함하여, Outlook 내에서 필요한 액션을 취할 수 있습니다.
이로 인해 침입자는 무엇을 할 수 있습니까?이 취약점을 성공적으로 유용한 침입자는 가상적으로 Outlook을 통해 취할 수 있는 어떤 액션이든 처리할 수 있습니다. 예로 메일의 생성, 삭제 또는 변경, 새로운 약속의 추가, 연락처 수정, 그리고 사용자 기기에서의 임의의 코드 실행 등을 들 수 있습니다.
침입자는 어떻게 취약점을 유용할 수 있습니까?침입자는 열렸을 때 컨트롤을 가동하면서 위에서 논의된 기능을 오용하는 웹 페이지를 생성할 필요가 있습니다. 침입자는 또 다른 사용자가 페이지를 열어보게 하는 2가지 전략을 이용할 것입니다.
- 그는 자신이 제어하는 웹 사이트 상에 페이지를 수용할 수 있습니다. 사용자가 사이트를 방문하여 웹 페이지를 열어보는 경우, 그 페이지는 컨트롤을 기동하려는 시도를 합니다.
- 그는 전자우편을 통해 사용자에게 악의를 띤 웹 페이지로의 링크를 보낼 수 있습니다. 수신자가 그 링크 상에서 클릭을 할 때, 링크는 악의를 띤 웹 사이트 상에서 컨트롤을 기동하려는 시도를 합니다.
2가지 시나리오에 있어, 웹 페이지가 컨트롤을 기동하려는 시도를 한다고 했는데, "시도"라는 단어의 의미는 무엇입니까?웹 페이지의 ActiveX 컨트롤의 기동 여부를 제어할 수 있습니다. 이를 방지하도록 시스템을 구성한 경우, 웹 페이지는 컨트롤을 기동할 수 없으며, 침입자는 취약점을 유용할 수 있습니다.
무엇이 웹 페이지가 ActiveX 컨트롤을 기동할 수 있는지의 여부를 결정합니까?IE는 특이한 웹 페이지가 존재하는 보안 영역 (Security Zone)에 기초하여 웹 페이지가 처리할 수 있는 내용을 그대로 구성할 수 있는 능력을 제공합니다. 설정된 값들 중의 하나는 페이지가 ActiveX 컨트롤을 기동할 수 있는지의 여부를 결정합니다.
Microsoft사는 이 취약점을 완벽하게 제거할 패치를 구축하고 있습니다. 그러나 이 패치를 이용할 수 있을 때까지, 고객들이 자신들의 시스템을 보호하기 위해 보안 영역 내에 있는 ActiveX 컨트롤을 금지할 것을 권장합니다. 일단 패치가 발표되면, ActiveX 컨트롤을 다시 활성화시킬 수 있을 것입니다.
어떤 영역에서 ActiveX 컨트롤을 금지해야 하며, 어떻게 이를 처리해야 합니까?최소한, 인터넷 영역에서는 그들을 금지해야 합니다. 이는 디폴트로 인터넷 상의 모든 사이트가 범주화되는 영역입니다. 원할 경우, 인트라넷 및 신뢰받는 사이트 영역에서 그들을 금지시킬 수도 있습니다. (디폴트로, 제한된 사이트 영역에서 이들은 이미 금지되어 있습니다). 인터넷 영역에서 ActiveX 컨트롤을 금지시키기 위해, 다음의 단계를 준수해야 합니다.
- Internet Explorer에서 도구를 선택하고, 이후에 옵션을 선택합니다.
- 보안 탭을 선택합니다.
- "인터넷"으로 명기된 아이콘에서 클릭을 한 다음, "고객 레벨"로 명기된 버튼을 클릭합니다.
- "ActiveX 컨트롤 및 플러그인 실행"이라는 이름을 발견할 때까지 설정값들의 리스트를 스크롤하다가 "금지"를 선택한 후, 옵션 페이지로 복귀하기 위해 OK를 클릭합니다.
- 옵션 페이지를 닫기 위해 OK를 다시 클릭합니다.
다른 영역에서 ActiveX 컨트롤을 금지하려면, 동일한 지시를 따르되, 3단계에서 인트라넷, 신뢰받는 사이트, 또는 제한된 사이트 아이콘을 선택하십시오.
IE에서 ActiveX 컨트롤을 금지시키면 기술한 메일 운반 시나리오로부터 보호 받습니까?네. HTML 전자우편은 웹 페이지로, Outlook에서 열어본다 하더라도, IE를 통해 선택한 보안 설정값의 지배를 받습니다. 디폴트로, Outlook 98 및 2000은 인터넷 영역에서 HTML 전자우편을 열어봅니다; Outlook 2002는 제한된 사이트 영역에서 이들을 열어봅니다. 따라서, Outlook 98과 2000 사용자는 위의 지시 사항을 준수하고 인터넷 또는 자체 인트라넷 영역에서 ActiveX 컨트롤을 금지한 경우, 보호를 받게 됩니다; Outlook 2002 사용자는 디폴트로 보호를 받습니다.
그러나 더 나은 솔루션이 있습니다. Outlook 전자우편 보안 업데이트 (Outlook E-mail Security Update) 는 Outlook 98 및 2000의 HTML 전자우편 처리 방식을 변경하며, 이들이 ActiveX 컨트롤이 이미 금지되어 있는 제한된 사이트 영역에서 메일들을 열어볼 수 있게 해줍니다. (업데이트는 Outlook 2002의 일환으로 자동적으로 설치됩니다). 업데이트는 전자우편의 바이러스를 보호하는 다른 변경 사항도 만듭니다. 따라서, 업데이트를 설치한 경우, 전자우편 바이러스와 이 취약점으로부터 보호를 받습니다. 혹은 설치하지 않은 경우, 이 취약점이 이의 설치를 위한 좋은 이유가 됩니다.
시스템 관리자로서 보든 사용자의 기기에서 자동적으로 ActiveX 컨트롤을 금지하고 싶은데, 가능합니까?네. 이용 절차는 이용하고 있는 운영체계에 따라 다릅니다:
- 액티브 디렉토리를 이용하는 Windows 2000 네트워크.
다음에 로그온하는 모든 사용자에게 설정값을 자동적으로 내보내기 위해 그룹 정책 (Group Policy)을 이용할 수 있습니다. 이를 위해 다음 단계들을 취하십시오:
- 사이트, 도메인 또는 조직단위 수준에서 그룹 정책을 생성합니다.
- 사용자 구성 | Windows 설정 | Internet Explorer 유지 보수 | 보안 영역 및 컨텐츠 유지 보수를 설택합니다.
- "현재의 보안 영역 설정값 가져오기" 이름의 라디오 버튼을 클릭한 후, "설정값 수정"을 클릭합니다.
- "인터넷"이라는 이름의 아이콘을 클릭한 후, "고객 레벨"이라는 이름의 버튼을 클릭합니다.
- "ActiveX 컨트롤 및 플러그인 실행"이라는 이름을 발견할 때까지 설정값들의 리스트를 스크롤하다가 "금지"를 선택한 후, 그룹 정책 대화창으로 복귀하기 위해 OK를 두번 클릭합니다.
- 다른 모든 운영체계.
원하는 보안 설정값으로 업데이트 팩키지를 생성하기 위해 IE 관리 키트 (Administration Kit)의 프로파일 매니저 (Profile Manager)를 이용합니다. 일단 이것이 이루어지면, 사용자는 설정값을 자동적으로 업데이트하기 위해 URL 또는 (초기 IE 셋업 과정에 지정된) AutoConfig URL을 이용할 수 있습니다. 이의 처리에 관한 추가 정보는 http://www.microsoft.com/technet/prodtechnol/ie/ieak/ko/를 참조하십시오.
| 패치 다운로드 | | |
해당 패치의 다운로드 위치이 패치에 관한 추가 정보
설치 플랫폼:
이 작업은 영향을 받은 시스템 상에서 이용될 수 있습니다.
향후 서비스 팩에 포함될 내용:
이 이슈를 위한 해결책은 Office XP Service Pack1에 포함될 것입니다.
재부팅 필요 여부: 필요 없음.
대체 패치:
없음.
패치 설치의 확인:
이 정보는 패치의 완료 시점에 제공될 것입니다.
주의 사항:
없음
한글판:
언어의 버전과 관계없이 이용될 수 있습니다.
기타 보안 관련 패치들의 확보:
기타 보안 관련 이슈에 대한 패치들은 다음 위치에서 확보할 수 있습니다:
| 기타 정보: | | |
지원: 보안 관련 자원: Microsoft TechNet Security 웹 사이트는 Microsoft 제품군의 보안에 관한 추가 정보를 제공합니다.
알림:
Microsoft 지식 기반에서 제공되는 정보는 어떤 유형의 보증 사항이 없이 제공됩니다. Microsoft사는 특정 목적을 위한 시판 가능성 및 적합성에 관한 보증을 포함해 표명된 또는 암시된 형태로 모든 보증 사항을 알려줍니다. Microsoft사 또는 관련 공급 업체는 손상에 관해 충고를 한 경우라도, 어떠한 형태의 직간접적인, 우발적인, 필연적인 사업상 이익의 손실 또는 특수한 손해에 대해서도 책임을 지지 않습니다.
최종 수정일 : 2005년 8월 17일
|