2024-03-29 23:10 (금)
MS, 12월 19개 치명적 취약점 포함 총 30개 보안취약점 패치 발표
상태바
MS, 12월 19개 치명적 취약점 포함 총 30개 보안취약점 패치 발표
  • 길민권 기자
  • 승인 2017.12.15 15:59
이 기사를 공유합니다

MS-7.jpg
MS가 2017년 12월 패치 튜스데이에 IE와 엣지(Edge) 웹 브라우저에 영향을 미치는 19개 치명적 결함을 포함한 30개 이상의 취약점에 대해 패치 업데이트를 배포했다.

MS는 원격 코드 실행에 악용할 수 있는 몇가지 메모리 손상 취약점을 해결했다. 대부분의 취약점은 브라우저 스크립팅 엔진에 존재했는데, 사용자가 악성 광고를 제공하는 특정 사이트를 방문하도록 한 후 해당 취약점들을 이용할 수 있다. MS는 구글, 팔로알토 네트웍스, 맥아피, 치후 360의 연구원들이 위 취약점들을 발견했음을 공개했다.

이번달에 패치된 취약점 목록에는 CVE-2017-11927를 부여받은 ‘중요’ 정보 유출 취약점이 포함되어 있다. 이 취약점은 윈도우 its:// 프로토콜 처리기에 영향을 미친다. MS는 보안 권고문을 통해 “정보 유출 취약점은 윈도우 its:// 프로토콜 처리기가 제공된 URL 영역을 결정하기 위해 불필요하게 원격 사이트에 트래픽을 전송할때 발생한다. 이로 인해 악의적인 사이트에 중요한 정보가 공개될 수 있다”고 말했다.

해당 취약점을 익스플로잇하기 위해서 공격자는 사용자가 악성 웹 사이트 또는 SMB나 UNC 경로 목적지를 탐색하도록 속여야한다. 성공적으로 사용자를 속여 사용자의 NTLM 해시를 알아낸 공격자는 브루트포싱 공격을 통해 해시 패스워드를 알아낼 수 있다.

MS가 해결한 결함 목록에는 또한 오피스 정보 유출 취약점들과 SharePoint의 권한 상승 취약점, Exchange에 존재하는 스푸핑 결함, 엑셀에서의 원격 코드 실행 취약점도 포함되어 있다. 좋은 소식은 12월에 패치된 취약점 중 어느 것도 패치 전 공개되거나 익스플로잇되지 않았다는 것이다. 어도비도 12월 패치를 공개했다. 이번달에는 1개 플래시 플레이어 취약점만이 패치되었다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★