마이크로소프트(MS)가 모든 윈도 버전에 영향을 미칠 수 있는 심각한 보안취약점 등을 포함, 전체 56개에 달하는 취약점을 해결하는 12개 보안 업데이트 내역을 공개했다. 여기에는 윈도10 엣지 브라우저에서 발견된 취약점에 대한 대응도 포함된다.
마이크로소프트 시큐리티 테크센터가 8일(현지시간) 공개한 보안 업데이트 내역을 보면, 전체 윈도 버전에 영향을 미칠 수 있는 심각한 취약점을 해결하는 패치는 2가지다.(관련링크)
먼저 MS15-094는 이달 보안 업데이트 중 가장 중요한 패치로 모든 윈도 버전과 함께 서버 및 태블릿 운영체제(OS)도 영향을 받을 수 있는 메모리 커럽션 취약점을 해결한 것이다. 이 취약점을 악용할 경우 공격자는 인터넷익스플로러를 통해 공격 대상 시스템에 실제 사용자와 같은 권한으로 여러가지 악성행위를 할 수 있게 된다. 공격자는 사용자를 악성 웹페이지로 접속하도록 유도해 관련 취약점을 악용한 공격을 시도할 수 있다. 현재 윈도10에서도 이러한 취약점이 작동하는 것으로 나타났으나 엣지 브라우저는 영향을 받지 않는 것으로 확인됐다.
MS15-098 역시 모든 윈도 버전을 대상으로 서비스거부(DoS) 공격을 가능케 하는 새로 발견된 취약점을 해결했다. 이 취약점은 사용자가 공격자가 배포하는 저널 파일을 실행하면 원격코드삽입을 통해 추가 악성코드를 설치할 수 있게 하는 것이었다.
MS가 윈도10부터 제공하고 있는 엣지 브라우저와 관련해서는 메모리 커럽션 취약점을 통해 해당 시스템에 대한 관리자 권한을 획득할 수 있게 하는 취약점에 대한 보안 업데이트(MS14-095)도 이뤄졌다.
이밖에도 스파이툴 개발사인 '해킹팀'에 대한 해킹을 통해 유출됐었던 '오픈타입 폰트(OpenType fonts)' 관련 취약점을 해결한 MS15-097, 마이크로소프트 오피스에 쉐어포인트 링크를 악용해 해당 시스템에 악성코드를 심거나 인증관련 쿠키파일을 훔쳐내는 크로스사이트스크립팅(xss) 공격을 방어하는 MS15-099 등이 보안 업데이트 리스트에 올랐다. MS15-099의 경우 애플 맥OS용으로 제공되는 액셀 포 맥 2011, 액셀 포 맥 2016 등 버전에도 작동하는 것으로 나타났다.
관련기사
- MS, 12인치 윈도10 태블릿 공개2015.09.09
- 윈텔 공세에도 PC의 성장이 힘든 이유2015.09.09
- 윈도10, 출시 한달만에 윈도8 점유율 추월2015.09.09
- MS, 윈도10 새 프리뷰 빌드 공개2015.09.09
이밖에도 MS15-096, MS15-100 등 패치는 윈도, 스카이프, 링크(lync), 익스체인지 서버 등에서 발견된 취약점에 대한 보안업데이트다.
구글 프로젝트 제로, 트렌드마이크로, 포티넷, 파이어아이, 인텔시큐리티, HP 제로데이이니셔티브 등을 포함한 여러 보안회사들의 제보를 통해 이러한 내용에 대한 패치가 이뤄졌다.
