2009-10 MS 보안패치 발표 내역입니다.

 10월 Microsoft 보안패치가 발표되었습니다.  최근들어 가장 많은 보안패치가 나온 것 같습니다.  무려 12개씩이나 발표되었구요.. 그중에 긴급이 8개, 중요가 4개 되겠습니다. 또한  12개 모두가 리부팅이 필요합니다..     

10월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-050

SMBv2의 취약점으로 인한 원격 코드 실행 문제점(975517)

  이 보안 업데이트는 SMBv2(Server Message Block Version 2)에서 발견되어 공개적으로 보고된 취약점 1건과 비공개적으로 보고된 취약점 2건을 해결합니다. 가장 위험한 취약점은 공격자가 서버 서비스를 실행하는 컴퓨터로 특수하게 조작된 SMB 패킷을 전송할 경우 원격 코드 실행을 허용할 수 있습니다.  인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

긴급, 리부팅 필요
원격 코드 실행

Vista,
Windows2008 server

MS09-051

Windows Media Runtime의 취약점으로 인한 원격 코드 실행 문제점(975682)
  * DirectShow WMA음성코덱 – 969878
  * Windows Media 오디오 음성디코드 – 954155
  * 오디오압축관리자 – 975025

이 보안 업데이트는 Windows Media Runtime에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 미디어 파일을 열거나, 웹 사이트 또는 웹 콘텐츠를 제공하는 응용 프로그램으로부터 특수하게 조작된 스트리밍 콘텐츠를 받을 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행


MS Windows ?,

MS09-052

Windows Media Player의 취약점으로 인한 원격 코드 실행 문제점(974112)

이 보안 업데이트는 비공개적으로 보고된 Windows Windows Media Player의 취약점을 해결합니다. 이 취약점으로 인해 Windows Media Player 6.4를 사용하여 특수하게 조작된 ASF 파일을 재생할 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
(vista,server2008 X)

MS09-054

Internet Explorer 누적 보안 업데이트(974455)

이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 3건과 공개된 취약점 1건을 해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
Internet Explorer

MS09-060

Microsoft Office용 Microsoft ATL(액티브 템플릿 라이브러리) ActiveX 컨트롤의 취약점으로 인한 원격 코드 실행 문제점(973965)
  * Outlook2002 sp3- 973702
  * Outlook2003 sp3 – 973705
  * Outlook2007 sp1,sp2 – 972363
  * Visio2007 – 973709

이 보안 업데이트는 취약한 버전의 Microsoft ATL(액티브 템플릿 라이브러리)을 사용하여 컴파일된 Microsoft Office용 ActiveX 컨트롤에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 구성 요소 또는 컨트롤을 로드하는 경우 원격 코드 실행이 발생할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Office

MS09-061

Microsoft .NET 공용 언어 런타임의 취약점으로 인한 원격 코드 실행 문제점(974378)
  * .NET Framework 1.1 sp1- 953297
  * .NET Framework 2.0 sp1- 953300
  * .NET Framework 2.0 sp2- 974417
  * Visio2007 – 973709

이 보안 업데이트는 Microsoft .NET Framework 및 Microsoft Silverlight에서 비공개적으로 보고된 취약점 3건을 해결합니다. 사용자가 XBAP(XAML 브라우저 응용 프로그램) 또는 Silverlight 응용 프로그램을 실행할 수 있는 웹 브라우저를 사용하여 특수하게 조작된 웹 페이지를 보거나, 공격자가 특수하게 조작한 .NET 응용 프로그램을 실행하도록 사용자를 유인하는 데 성공할 경우 이 취약점으로 인해 클라이언트 시스템에서 원격 코드가 실행될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 서버에서 ASP.NET 페이지 처리를 허용하고 공격자가 해당 서버에 특수하게 조작한 ASP.NET 페이지를 성공적으로 업로드하여 실행할 경우 이 취약점으로 인해 IIS를 실행하는 서버 시스템에서 원격 코드가 실행될 수 있습니다. 이러한 경우는 웹 호스팅 시나리오에서 발생할 수 있습니다. 악의적이지 않은 Microsoft .NET 응용 프로그램, Silverlight 응용 프로그램, XBAP 및 ASP.NET 페이지는 이 취약점으로 인해 공격을 받을 위험이 없습니다.

긴급, 리부팅 필요
원격코드 실행


MS Windows, ?
(특히 IIS server)
.NET Framework,
MS Siverlight,

MS09-062

GDI+의 취약점으로 인한 원격 코드 실행 문제점(957488)
  * Windows- 958869
  * .NET Framework 1.1 sp1- 971108
  * .NET Framework 2.0 sp1- 971110
  * .NET Framework 2.0 sp2- 971111
  * Office project2002 sp1- 974811
  * Office Visio 2002 sp2- 975365
  * Office 2003 각종 viewer  sp1- 972580
  * Office 2007 각종 viewer – 972581
  * SQL server2005 sp2- 970895
  * SQL server2005 sp2 – 970892
  * Report viewer2005 – 971117
  * Report viewer2005 sp2- 971118
  * Report viewer2008 – 971119

이 보안 업데이트는 Microsoft Windows GDI+에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 사용자가 영향을 받는 소프트웨어를 사용하여 특수하게 조작된 이미지를 보거나 특수하게 조작된 콘텐츠가 포함된 웹사이트를 탐색할 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

긴급, 리부팅 필요
권한상승

MS Windows, ?
Internet Explorer,
.NET Framework,
MS Office,
MS SQL Server,
MS 개발자 도구

MS09-053

IIS(인터넷 정보 서비스) FTP 서비스의 취약점으로 인한 원격 코드 실행 문제점(975254)

이 보안 업데이트는 Microsoft IIS(인터넷 정보 서비스) 5.0, Microsoft IIS(인터넷 정보 서비스) 5.1, Microsoft IIS(인터넷 정보 서비스) 6.0 및 Microsoft IIS(인터넷 정보 서비스) 7.0의 FTP 서비스에 대해 공개적으로 보고된 취약점 2건을 해결합니다. IIS 7.0에서는 FTP 서비스 6.0만 영향을 받습니다. 이 취약점으로 인해 IIS 5.0에서 FTP 서비스를 실행하고 있는 시스템에 원격 코드 실행(RCE)이 발생하거나 IIS 5.0, IIS 5.1, IIS 6.0 또는 IIS 7.0에서 FTP 서비스를 실행하고 있는 시스템에 서비스 거부(DoS)가 발생할 수 있습니다

중요, 리부팅 불필요
권한상승
서비스 거부

MS Windows,?
(특히 IIS Server)

.NET Framework

MS09-056

Windows CryptoAPI의 취약점으로 인한 스푸핑 허용 문제점(974571)

이 보안 업데이트는 Microsoft Windows에서 발견되어 공개적으로 보고된 취약점 2건을 해결합니다. 최종 사용자가 인증에 사용한 인증서에 공격자가 액세스할 수 있는 경우 이 취약점으로 인해 스푸핑이 허용됩니다.

중요, 리부팅 필요
스푸핑

MS Windows,

MS09-057

인덱싱 서비스의 취약점으로 인한 원격 코드 실행 문제(969059)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 ActiveX 구성 요소에 대한 호출을 통해 인덱싱 서비스를 실행하는 악의적인 웹 페이지를 설정할 경우 원격 코드 실행을 허용할 수 있습니다. 이 호출은 악의적인 URL을 포함할 수 있으며, 취약점을 악용하여 웹 페이지를 검색하는 사용자의 권한으로 클라이언트 시스템에 액세스할 수 있는 권한을 공격자에게 부여합니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

중요, 리부팅 불필요
서비스 거부

MS Windows,

MS09-058

Windows 커널의 취약점으로 인한 권한 상승 문제점(971486)

이 보안 업데이트는 Windows 커널에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 가장 위험한 취약점은 공격자가 시스템에 로그온하여 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승을 허용할 수 있습니다. 이러한 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

중요, 리부팅 필요
권한상승

MS Windows,

CISSP협회 091016 정보보호리더십 세미나

   CISSP 자격을 취득한지도 3년째입니다.  보안업무를 하고 있기는 하지만  현장에의 적용은 쉽지많은 않다는 느낌입니다. 지속적으로 스터디하고 지식을 발전시켜 나가기도 만만치 않기도 합니다.  실무에선  운영적인  지엽적인 문제들 위주로 닥치기 때문에  전체를 보는 눈이 작아진다는 느낌도 들구요..

  CISSP협회에서는 자주 세미나를 진행하고 있습니다.  내일 16 저녁에도 역삼동에서 사이버 테러 위협과 방어라는 주제로 세미나를 하더군요..  고맙게도 4 CPE를 부여해준다고 합니다.  게다기 비용은 무료입니다.    제 경우 아직 서티를 안받아서 도움이 안되겠지만요..  ^^  서티를 받아야지 하면서도 늘 미루게 되는 군요..  이런 세미나에 참석하는것은 감각을 유지하고 시야를 넓히는데 도움이 되니까  가능하다면 반드시 참석하려고 합니다.    CISSP협회 세미나는  CISSP 회원을 위한 것이므로  라이센스가 없는 분들은  참여가 안되는 것으로 알고있습니다.

=============================================
주제: 사이버 테러 위협과 방어
주최: 한국 CISSP 협회
장소: 서울 역삼동 한국과학기술회관 대회의실
일시: 2009.10.16 (금) 18:30-21:00
혜택: 4 CPE부여
비용: 무료
=============================================

CISSP협회 홈페이지:  http://www.cisspkorea.or.kr/
사용자 삽입 이미지

[개인정보의 기술적 관리적 보호조치] 해설서 교육

메일로  보안뉴스에서 온 내역입니다.  실제 교육은 소만사에서 진행하는 것입니다.
개인정보 관리자라면  교육을 받고 오시는것이 좋을 듯합니다
이런 행사에 가서 교육받은 수료증을 잘 보관해두시면  향후 개인정보관련 감사시에
개인정보에 노력을 기울인 근거들을 제출할 수 있으니  도움이 된다고 할 수 있습니다.
묘하게도 소만사 사이트에선 사전등록링크를 접근못하고  메일을 통해서만 되더군요..
아직 업데이트를 안했나?

사전등록: http://www.somansa.com/conf_regist.asp
약도보기: http://www.eltower.com/about/sub_01_07.htm

사용자 삽입 이미지

[Officescan] Updateagent 설치하고 업데이트 설정하기

  Trendmicro는 세계백신시장에서 점유율 3위의  보안기업입니다.  타 업체와는 달리  바이러스방어와 연관된 사업에만 집중하고 있는 기업이지요. 과거에 국내의 A사와  글로벌기업인 S사의 백신을 사용한 적이 있었는데  4년전부터 Trendmicro의 Officescan이란 백신시스템을 사용하고 있습니다.   개인이 백신을 사용할 때의 주된 선택 기준은 백신자체의 치료율입니다.  하지만  기업에서 백신시스템을 선택할 때의 기준은  운영및 통제가 얼마나 쉽고 정확하게 이루어 지느냐라고 할 수있습니다.  치료율이 좋은 백신들이 대부분 무겁다는 사실은  기업에서는 그다지 반가운 일이 아니지요..    Officescan이 확실히 치료율이 우수한 백신이라고 하기는 힘든 면이 있습니다.  하지만 기업내에 흩어져 있는 수많은 클라이언트들을 한눈에  보고 쉽게 관리할 수 있게 해주는 면에 있어서는 탁월하다고 할 수 있습니다.

  기업내에선 네트웍 대역폭이 매우 작은 지점들이 다수 존재합니다.  백신은 매일 한번씩은 패턴 업데이트를 다운받아야 하는데  패턴의 용량이 갈수록 커지는 현실을 놓고 볼때   어떻게 백신 클라이언트들을 관리할 것이냐는 어려운 문제라고 할 수있습니다.  트렌드에서는 기존에 Update agent를 통해서  이런 고민에 대해서 해결책을 제시해왔고  최근 Officescan10 버전이 나오면서 Smartscan이라고 하는 새로운 Cloud방식의 관리로  새로운 해결책을 제시했습니다.  Smartscan은 차후에 다시 언급하기로 하고 여기서는 Update agent을 구성하고 사용하는 방법에 대해서 정리해보았습니다.

==================================================================
상      황 : 1M 대역폭의 전용선 에  50대의 PC를 보유하고 있는  A지점
요구사항: 50대의 pc중에서 한 대만 중앙서버로부터 패턴을 업데이트 받고 
              이 pc를 통해  내부의 다른pc들에 설치된 백신이 업데이트 되게하라.
              백신업데이트때문에  업무트래픽이 느려지거나 장애가 발생해서는 안된다.
해 결 책:  지점의 한 PC를 Update agent로 설정하고  
              A 지점에서는 이 update agent를 통해서  패턴을 업데이트 받게 한다.
===================================================================

1. 준비: 일단 Updateagent로 사용할 시스템을 준비한다.  서버가 아니라도 상관이 없다 (XP도 가능)
    될수있으면 24시간 켜있는 시스템을 활용하는것이 좋다. (이중화를 위해 여러대를 설정할 수도 있다)
    지점의 시스템은 Officescan 백신 client가  이미 설치되어 있어야 한다.

2.  먼저 Update agent를 만들어야 한다.  (중앙서버의 웹콘솔에서 작업 가능)
   1) Networked Computers / Client Management 메뉴로 이동
   2) Update agent로 사용할 시스템을 클릭한다.
   3) 상부의 Settings메뉴를 클릭하여  [Update agents settings]항목을 클릭한다.사용자 삽입 이미지    4) update agent settings 창이 나오면 아래와 같이  [clients can act as Update agents] 항목을 체크한다사용자 삽입 이미지   5) 이제 막 만든 Update agent를 웹콘솔에서 확인할 수 있다.  아이콘이 색다르다. (약간의 시간 소요)사용자 삽입 이미지
3.  이제는 Update 정책을 만들어 주어야 한다.
   1) 웹콘솔에서  Updates / Network computers/ Update source 메뉴로 이동
   2) A지점의 네트웍 대역을 입력한다.
   3) 조금 전에 만든 Update agent가 리스트에 나오는데  이것을 선택해준다.
   4) 저장
 사용자 삽입 이미지
4. Update정책의 확인하고 배포합니다.
   1) A지점의 아이피 대역과  Update agent 시스템의 업데이트 주소를 확인합니다.
   2) Notify All Clients 버튼을 클릭하여  정책을 배포합니다.
   사용자 삽입 이미지
    3) 제안: Update agent외의 어떤 pc도 중앙서버에서 패턴을 받아가는 일이 없도록 하기위해서
        Update source 메뉴의 상단에 보이는 [Update from Officescan server if all ……]을 체크한다.
        실제로 Update agent가 다운되면  A 지점의 pc들은  중앙서버가 아닌 인터넷상에 존재하는
        Trend update  서버에 접속하여  업데이트를 받게된다.  
사용자 삽입 이미지
5. Update agent의 정상 작동 확인
    1) 실제로 A지점의 백신클라이언트들이  Update agent로부터 업데이트를 잘 받아 갈 수 있을지 확인하려면
       http://update_agent_update_url/server.ini 를 접근해 본다.
       다운로드가 되면  update agent가 정상 작동하고 있는 것이다.  
사용자 삽입 이미지
     2) 클라이언트 PC의 아래 경로에서 실제 클라이언트들의 업데이트 로그를 확인해본다.
       디렉토리 위치: C:\Program Files\Trend Micro\OfficeScan Client\ConnLog\
       가장 확실한 점검이죠.. ^^