MS09-050 (심각) - SMBv2 원격 코드 실행 취약점

얼마 전에 알려졌던 SMBv2 취약점에 대한 업데이트입니다. 윈도우 비스타와 서버 2008 운영체제가 영향을 받습니다.

  • SMBv2 무한 루프 취약점 (CVE-2009-2526)
    SMBv2 패킷을 처리하는 과정에서 무한 루프가 발생할 수 있기 때문에 이 취약점을 공격하면 서버 서비스가 재시작하기 전까지 응답이 불가능한 상태가 됩니다.
  • SMBv2 명령 값 취약점 (CVE-2009-2532)
  • SMBv2 협상 취약점 (CVE-2009-3103)

MS09-051 (심각) - 윈도우 미디어 런타임 원격 코드 실행 취약점

DirectShow WMA 보이스 코덱, 윈도우 미디어 오디오 보이스 디코더, 오디오 압축 관리자의 취약점입니다.

  • 윈도우 미디어 런타임 보이스 샘플링 레이트 취약점 (CVE-2009-0555)
    조작된 ASF 파일을 윈도우 미디어 플레이어가 재생하도록 하여 원격 코드 실행이 가능한 취약점입니다.
  • 윈도우 미디어 런타임 힙 오염 취약점 (CVE-2009-2525)
    압축된 오디오 파일의 특정 기능을 처리하는 부분에서 원격 코드 실행 취약점이 발생했습니다. 미디어 파일을 조작하거나 스트리밍 데이터를 조작하는 방법으로 취약점을 공격할 수 있습니다.

MS09-052 (심각) - 윈도우 미디어 플레이어 원격 코드 실행 취약점

윈도우 미디어 플레이어 6.4 버전에서 조작된 ASF 파일을 재생하는 경우 원격 코드 실행이 가능합니다. 윈도우 2000 서비스 팩 4, 윈도우 XP 서비스팩 2와 3, 윈도우 서버 2003 서비스팩 2와 관련이 있습니다.

MS09-053 (심각) - IIS FTP 서비스 원격 코드 실행 취약점

IIS 5.0, 5.1, 6.0, 7.0 버전의 FTP 서비스에서 2건의 취약점이 발견되었습니다. (IIS 7의 경우 FTP 서비스 6.0만 해당)

  • IIS FTP 서비스 거부 취약점 (CVE-2009-2521)
  • IIS FTP 원격 코드 실행 취약점 및 서비스 거부 취약점 (CVE-2009-3023)
    IIS 5.0의 경우 원격 코드 실행이 가능하고, IIS 5.1, 6.0의 경우 서비스 거부 공격이 가능합니다.

MS09-054 (심각) - 인터넷 익스플로러 누적 보안 업데이트

인터넷 익스플로러 5.01, 6, 7, 8 모든 버전에 걸쳐서 총 4건의 취약점을 패치합니다.

  • 데이터 스트림 헤더 오염 취약점 (CVE-2009-1547)
    특정한 경우에 데이터 스트림 헤더를 처리하면서 원격 코드 실행이 가능한 취약점입니다. 조작된 웹 페이지를 이용하여 취약점을 공격할 수 있습니다.
  • HTML 컴포넌트 처리 취약점 (CVE-2009-2529)
    특정한 경우에 변수 인자값의 유효성을 검증할 때 원격 코드 실행이 가능한 취약점입니다. 조작된 웹 페이지를 이용하여 취약점을 공격할 수 있습니다.
  • 초기화되지 않은 메모리 오염 취약점 (CVE-2009-2530)
  • 초기화되지 않은 메모리 오염 취약점 (CVE-2009-2531)

MS09-055 (심각) - ActiveX Kill bits 누적 보안 업데이트

원격 코드 실행 취약점이 있는 ATL 라이브러리를 사용하도록 컴파일된 다수의 ActiveX 컨트롤들을 폐기합니다.

MS09-056 (중요) - 윈도우 CryptoAPI 스푸핑 허용 취약점

사용자가 인증에 사용하는 인증서를 공격자가 얻을 수 있는 경우에 스푸핑이 가능한 취약점입니다.

  • X.509 CN (Common Name)의 Null 잘림 취약점 (CVE-2009-2510)
    윈도우 CryptoAPI 컴포넌트가 X.509 인증서에 ASN.1로 인코딩된 정보를 파싱할 때 스푸핑이 가능한 취약점이 있습니다. 공격자가 취약점 공격에 성공한 경우 다른 사용자나 시스템으로 위장할 수 있습니다.
  • X.509 OID의 정수 오버플로우 취약점 (CVE-2009-2511)
    윈도우 CryptoAPI 컴포넌트가 X.509 인증서에 ASN.1로 인코딩된 OID 값을 파싱할 때 정수 오버플로우가 발생하는 점을 이용하여 스푸핑이 가능합니다. 공격자가 취약점 공격에 성공한 경우 다른 사용자나 시스템으로 위장할 수 있습니다.

MS09-057 (중요) - 인덱싱 서비스 원격 코드 실행 취약점

인덱싱 서비스를 사용하는 ActiveX 컨트롤을 통하여 원격 코드 실행이 가능합니다.

  • 인덱싱 서비스의 메모리 오염 취약점 (CVE-2009-2507)
    인덱싱 서비스에 포함된 ActiveX 컨트롤이 조작된 웹 컨텐트를 제대로 처리하지 못하여 원격 코드 실행 취약점이 발생했습니다.

MS09-058 (중요) - 윈도우 커널 권한 상승 취약점

윈도우 커널에서 로그온 한 상태에서 공격이 가능한 몇 개의 로컬 취약점들이 발견되었습니다. 윈도우 2000, XP, 2003, 비스타, 서버 2008에 대해서 중요 등급이고, 비스타와 서버 2008 서비스팩 2에 대해서는 보통 등급입니다.

  • 윈도우 커널 정수 언더플로우 취약점 (CVE-2009-2515)
    64비트 값을 32비트 값으로 변환할 때 잘못 잘리면서 권한 상승이 가능한 취약점이 발생했습니다. 이로 인해 임의의 코드를 커널모드에서 실행할 수 있습니다.
  • 윈도우 커널 널 포인터 참조 취약점 (CVE-2009-2516)
    유저모드에서 넘어오는 특정 데이터를 충분히 검증하지 않아서 권한 상승이 가능한 취약점이 발생했습니다. 이로 인해 임의의 코드를 커널모드에서 실행할 수 있습니다.
  • 윈도우 커널 예외 처리기 취약점 (CVE-2009-2517)
    커널이 특정 예외를 올바르게 처리하지 못하기 때문에 서비스 거부가 발생할 수 있습니다. 공격자가 특수한 응용 프로그램을 만들어서 실행하면 시스템이 재시작되도록 할 수 있습니다.

MS09-059 (중요) - 로컬 보안 권한 서브시스템 서비스 거부 취약점

NTLM 인증 과정에서 조작된 패킷을 전송하면 서비스 거부가 발생할 수 있습니다. XP, 서버 2003, 비스타, 서버 2008, 윈도우 7 모든 버전이 대상입니다.

  • 로컬 보안 권한 서브시스템 서비스 정수 오버플로우 취약점 (CVE-2009-2524)
    LSASS가 NTLM 인증 과정에서 변조된 패킷을 올바르게 처리하지 못하기 때문에 서비스 거부가 발생할 수 있습니다.

MS09-060 (심각) - 오피스 ATL ActiveX 컨트롤 원격 코드 실행 취약점

취약한 버전의 ATL 라이브러리와 컴파일된 오피스 ActiveX 컨트롤들로 인해 원격 코드 실행이 가능합니다. 모든 버전의 아웃룩 2002, 2003, 2007과 비지오 2002, 2003, 2007 뷰어가 취약합니다.

  • ATL 초기화되지 않은 객체 취약점 (CVE-2009-0901)
    VARIANT가 초기화되지 않은 상태에서 VariantClear를 호출하는 방법으로 공격자가 임의의 코드를 실행할 수 있습니다.
  • ATL COM 초기화 취약점 (CVE-2009-2493)
    데이터스트림으로부터 객체를 인스턴스화 하는 부분의 취약점으로 인해 원격 코드 실행이 가능합니다. ATL을 사용하여 만들어진 컴포넌트나 컨트롤의 경우 OleLoadFromStream을 안전하지 않은 방식으로 사용하면 kill bit 등 보안 정책을 우회하여 임의의 객체를 인스턴스화 할 수 있게 됩니다.
  • ATL 널 문자열 취약점 (CVE-2009-2495)
    종료 널 문자가 없는 문자열도 읽을 수 있는 취약점을 이용하면, 공격자가 문자열 경계를 넘어서 임의의 데이터를 메모리에서 읽어낼 수 있습니다.

MS09-061 (심각) - .NET CLR 원격 코드 실행 취약점

XAML 브라우저 응용프로그램 (XBAP) 혹은 실버라이트 응용프로그램을 실행할 수 있는 브라우저에서 조작된 웹 페이지를 보게 되면 원격 코드 실행이 가능한 취약점입니다. ASP.NET 호스팅을 하 경우라면 조작된 ASP.NET 페이지를 업로드하여 IIS가 동작하는 서버에서 임의의 코드를 실행할 있습니다. 윈도우 2000, XP, 비스타, 7 모든 버전, 그리고 맥에 실버라이트 2가 설치된 경우에 취약합니다.

  • 닷넷 프레임워크 포인터 검증 취약점 (CVE-2009-0090)
    닷넷 프레임워크는 악성 닷넷 응용프로그램이 더이상 사용되지 않는 스택 메모리에 대한 매니지드 포인터를 가질 수 있도록 허용하는 취약점을 가지고 있습니다. 이 포인터가 정상적인 스택 위치를 가리키도록 나중에 변경할 수 있기 때문에 임의의 언매니지드 코드를 실행할 수 있게 됩니다.
  • 닷넷 프레임워크 타입 검증 취약점 (CVE-2009-0091)
    닷넷 프레임워크는 악성 닷넷 응용프로그램이 타입 동등성 검증을 우회할 수 있는 취약점을 가지고 있습니다. 객체를 다른 타입으로 캐스팅하는 방법으로 언매니지드 코드가 실행되도록 유도할 수 있습니다.
  • 실버라이트 및 닷넷 프레임워크 CLR 취약점 (CVE-2009-2497)
    닷넷 프레임워크의 취약점으로 인해 악성 닷넷 응용프로그램이나 악성 실버라이트 응용프로그램이 임의의 메모리를 수정할 수 있습니다. 이로 인해 임의의 언매니지드 코드가 실행될 수 있습니다.

MS09-062 (심각) - GDI+ 원격 코드 실행 취약점

윈도우 GDI+의 취약점으로 인해 악성 이미지 파일을 보거나 특정한 내용을 담고 있는 웹 페이지를 방문하는 경우 원격 코드 실행이 발생할 수 있습니다.