2010년 9월 29일 (긴급) 마이크로소프트 보안 공지 발표

2010년 9월 29일 수요일에 긴급히 발표된 마이크로소프트 보안 공지 내용을 요약하여 제공합니다.

신규 보안 공지

마이크로소프트는 새로 발견된 취약점에 대하여 다음과 같이 1개의 신규 보안 공지를 발표합니다. MS10-070 (중요) ASP.NET의 취약점으로 인한 정보 유출 문제점 (2418042) - Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 이번 보안 업데이트는 마이크로소프트 보안 권고 2416728에서 처음 기술했던 취약점을 해결하는 업데이트이기도 합니다.

관련 자료

Microsoft 보안 공지 MS10-070: ASP.NET의 취약점으로 인한 정보 유출 문제점 (2418042), https://www.microsoft.com/technet/security/bulletin/MS10-070.mspx (영어), https://www.microsoft.com/korea/technet/security/bulletin/MS10-070.mspx (한국어, 준비 중)

Microsoft 보안 권고(2416728) ASP.NET의 취약점으로 인한 정보 유출 문제점 https://www.microsoft.com/technet/security/advisory/2416728.mspx (영어), https://www.microsoft.com/korea/technet/security/advisory/2416728.mspx (한국어, 최신 정보로 수정 중)

마이크로소프트 기술 자료 문서 2418042

마이크로소프트 보안 대응 센터 (MSRC) 블로그

마이크로소프트 보안 연구 및 방어팀 (SRD) 블로그

마이크로소프트 악성 코드 방어 센터 (MMPC) 블로그

보안 공지 기술 세부 사항

아래 영향을 받는 소프트웨어와 영향을 받지 않는 소프트웨어 표에서, 나열되지 않은 소프트웨어는 지원 기간이 지난 제품입니다. 제품과 버전에 대한 지원 기간을 보려면 마이크로소프트 지원 기간 페이지 https://support.microsoft.com/lifecycle/ 를 참고하여 주십시오.

보안 공지 MS10-070

제목: ASP.NET의 취약점으로 인한 정보 유출 문제점 (2418042)

요약: 이 보안 업데이트는 ASP.NET에서 공개된 취약점 1개를 해결합니다. 이 취약점으로 인해 정보가 유출될 수 있습니다. 이 취약점 악용에 성공한 공격자는 서버가 암호화한 view state와 같은 데이터를 읽을 수 있습니다. 직접 원격 코드를 실행하게 할 수 있는 취약점은 아니지만 추후 시스템에 손상을 입힐 수 있는 공격에 쓰일 수 있습니다. .NET 프레임워크 3.5 서비스 팩 1 이상의 버전에서는 web.config를 포함해 ASP.NET 애플리케이션 내의 어떤 파일이든 공격자가 가져갈 수 있는 취약점이기도 합니다.

보안 업데이트는 ASP.NET으로 암호화된 모든 데이터에 추가로 서명함으로써 취약점을 해결합니다. 이번 보안 업데이트는 마이크로소프트 보안 권고 2416728에서 처음 기술했던 취약점을 해결하는 업데이트이기도 합니다.

최대 심각도: 중요

영향을 받는 소프트웨어: .NET 프레임워크 1.1, .NET 프레임워크 2.0, .NET 프레임워크 3.5, .NET 프레임워크 4.0, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2

(아래 링크에서 영향을 받는 소프트웨어와 다운로드 위치를 확인하십시오)

취약점: ASP.NET Padding Oracle 취약점 (CVE-2010-3332), 취약점으로 인한 영향: 정보 유출 시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 할 수도 있습니다.
이번 업데이트로 대체되는 보안 공지: MS10-041 또는 MS09-036 (아래 링크에서 소프트웨어 제품별로 확인하십시오)

상세 정보: https://www.microsoft.com/technet/security/bulletin/MS10-070.mspx (영어), https://www.microsoft.com/korea/technet/security/bulletin/MS10-070.mspx (한국어, 준비 중)

정보의 일관성

본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다. 이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.

기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

감사합니다.

한국마이크로소프트 고객지원부