2011.11.04

MS, 화면 뒤집히는 '업사이드 다운' 버그 다음주 패치

Gregg Keizer | Computerworld
마이크로소프트는 다음주 윈도우 내에 있는 4개의 취약점을 패치하는 4개의 보안 업데이트를 할 것이라고 밝혔다. 그러나 커널 취약점을 악용하는 두큐 악성코드에 대한 긴급 업데이트에 대한 기미는 보이지 않았다. 
 
마이크로소프트는 이번 주요 취약점 패치는 윈도우 비스타, 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2에 영향을 미친다고 말했다. 
 
마이크로소프트의 가장 심각한 위협 순위인 ‘크리티컬’ 업데이트 하나이외에 다음주 선택된 업데이트는 그 다음으로 심각한 등급인 두 개의 ‘중요’와 하나는 ‘보통’ 레벨이다.  
 
크리티컬과 중요로 분류된 업데이트 가운데 두 개는 공격자가 악성코드를 실행할 때 악용할 수 있거나 잠재적으로 컴퓨터를 강탈할 수 있는 취약성을 패치할 것이다. 
 
그러나 마이크로소프트는 최근 재발한 크리티컬한 윈도우 커널 버그를 언제 보완할 것인지는 밝히지 않았다. 몇 달동안 두큐 트로이 목마에 의해 악용되어진 제로데이 취약점은 패치하지 않았다. 
 
이번주 초 시만텍은 이와 같은 사실을 알리면서 커널 버그의 상세한 설명은 하지 않았다. 마이크로소프트는 다음주 화요일 커널 취약점에 대해 보안 경고를 했어야 했다. 
 
오래된 윈도우XP는 하나의 크리티컬 업데이트도 요구하지 않을 것이다. 이는 중요 취약성 가운데 하나로 패치됐기 때문일 것이다.  
 
이와 반면에 윈도우 7 사용자는 크리티컬 패치를 포함한 총 4개의 업데이트를 받을 것이며, 윈도우 비스타 소유자는 3개를 받을 것이다. 
 
엔써클 시큐리티 보안 운영 책임자 앤드류 스톰은 “이번 달 화면이 뒤집히는 것을 봤다”며, 새로운 운영체제는 예전 것보다 더 많은 버그가 있다”고 말했다. 
 
전통적으로 마이크로소프트는 새로운 버전보다 윈도우의 오래된 에디션이 더많은 취약성이 노출되어 쟁점화가 되는 패치를 하는 일은 흔치 않다.
 
다른 연구원은 몇 가지 특이성을 발견했다. 
퀄리스 CTO 울프강 칸덱은 "재미있게도 마이크로소프트 패치 공고의 대부분은 윈도우의 새로운 버전에 적용되며, 윈도우 XP와 서버 2003 사용자들은 단지 중요 업데이트인 공고 3에 의해 영향을 받을 뿐"이라고 말했다.
 
CVE, 발표 가능성 높다
그리고 패치 가운데 소수는 마이크로소프트가 홀수 달에는 보다 적은 업데이트를 하는 습관 속에서 알아냈다. 스톰은 이번에는 평소보다 더 가볍다고 말했다. 
 
"이는 2009년과 지난해 11월보다 더 낮다"며, "2009년 11월에는 6개의 공고와 15CVEs를, 2010년에는 3개의 공고와 13CVEs를 내놨었다"고 말했다. 
 
공통 보안 취약성과 공지를 위한 CVE는 개발업체와 보안 연구가들에게 각각의 특정 취약점을 표식하는데 사용하는, 하나의 식별자다.  
 
다음 주에 예상된 업데이트의 수가 적은 것과 함께 연구자들은 두큐로 인해 커널 취약점에 초점이 맞춰져 있는 것이 놀랍지 않다. 
 
스톰은 “나는 우리가 모두 기다리는 동안 두큐 취약점 공격에 무엇인가 당할 것이라는 실제 뉴스를 생각한다”고 말했다. 이전에 스톰은 마이크로소프트가 다음 주 컬렉션 때까지 그 버그를 수정하지 않을 것이라고 예상했다.
 
레피드7 보안 연구가인 마르쿠스 커레이는 기업들이 환자가 됐다고 충고했다. 
 
커레이는 그 커널 버그에 대해 “고객들에게 마이크로소프트로부터 나오는 패치와 다른 마이그레이션 전략이 담긴 공식 가이드를 기다릴 것을 추천한다”며, 마이크로소프트로부터의 권고를 예상했다 
 
이 시간동안 많은 조직들은 쉽게 패닉에 걸려 제로데이의 공포에 기반한 소셜 엔지니어링 공격의 희생양으로 전락할 수 있다. 
 
4개의 업데이트는 정확하게 미동부 시각으로 11월 8일 오후 1시에 나온다. editor@itworld.co.kr


2011.11.04

MS, 화면 뒤집히는 '업사이드 다운' 버그 다음주 패치

Gregg Keizer | Computerworld
마이크로소프트는 다음주 윈도우 내에 있는 4개의 취약점을 패치하는 4개의 보안 업데이트를 할 것이라고 밝혔다. 그러나 커널 취약점을 악용하는 두큐 악성코드에 대한 긴급 업데이트에 대한 기미는 보이지 않았다. 
 
마이크로소프트는 이번 주요 취약점 패치는 윈도우 비스타, 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2에 영향을 미친다고 말했다. 
 
마이크로소프트의 가장 심각한 위협 순위인 ‘크리티컬’ 업데이트 하나이외에 다음주 선택된 업데이트는 그 다음으로 심각한 등급인 두 개의 ‘중요’와 하나는 ‘보통’ 레벨이다.  
 
크리티컬과 중요로 분류된 업데이트 가운데 두 개는 공격자가 악성코드를 실행할 때 악용할 수 있거나 잠재적으로 컴퓨터를 강탈할 수 있는 취약성을 패치할 것이다. 
 
그러나 마이크로소프트는 최근 재발한 크리티컬한 윈도우 커널 버그를 언제 보완할 것인지는 밝히지 않았다. 몇 달동안 두큐 트로이 목마에 의해 악용되어진 제로데이 취약점은 패치하지 않았다. 
 
이번주 초 시만텍은 이와 같은 사실을 알리면서 커널 버그의 상세한 설명은 하지 않았다. 마이크로소프트는 다음주 화요일 커널 취약점에 대해 보안 경고를 했어야 했다. 
 
오래된 윈도우XP는 하나의 크리티컬 업데이트도 요구하지 않을 것이다. 이는 중요 취약성 가운데 하나로 패치됐기 때문일 것이다.  
 
이와 반면에 윈도우 7 사용자는 크리티컬 패치를 포함한 총 4개의 업데이트를 받을 것이며, 윈도우 비스타 소유자는 3개를 받을 것이다. 
 
엔써클 시큐리티 보안 운영 책임자 앤드류 스톰은 “이번 달 화면이 뒤집히는 것을 봤다”며, 새로운 운영체제는 예전 것보다 더 많은 버그가 있다”고 말했다. 
 
전통적으로 마이크로소프트는 새로운 버전보다 윈도우의 오래된 에디션이 더많은 취약성이 노출되어 쟁점화가 되는 패치를 하는 일은 흔치 않다.
 
다른 연구원은 몇 가지 특이성을 발견했다. 
퀄리스 CTO 울프강 칸덱은 "재미있게도 마이크로소프트 패치 공고의 대부분은 윈도우의 새로운 버전에 적용되며, 윈도우 XP와 서버 2003 사용자들은 단지 중요 업데이트인 공고 3에 의해 영향을 받을 뿐"이라고 말했다.
 
CVE, 발표 가능성 높다
그리고 패치 가운데 소수는 마이크로소프트가 홀수 달에는 보다 적은 업데이트를 하는 습관 속에서 알아냈다. 스톰은 이번에는 평소보다 더 가볍다고 말했다. 
 
"이는 2009년과 지난해 11월보다 더 낮다"며, "2009년 11월에는 6개의 공고와 15CVEs를, 2010년에는 3개의 공고와 13CVEs를 내놨었다"고 말했다. 
 
공통 보안 취약성과 공지를 위한 CVE는 개발업체와 보안 연구가들에게 각각의 특정 취약점을 표식하는데 사용하는, 하나의 식별자다.  
 
다음 주에 예상된 업데이트의 수가 적은 것과 함께 연구자들은 두큐로 인해 커널 취약점에 초점이 맞춰져 있는 것이 놀랍지 않다. 
 
스톰은 “나는 우리가 모두 기다리는 동안 두큐 취약점 공격에 무엇인가 당할 것이라는 실제 뉴스를 생각한다”고 말했다. 이전에 스톰은 마이크로소프트가 다음 주 컬렉션 때까지 그 버그를 수정하지 않을 것이라고 예상했다.
 
레피드7 보안 연구가인 마르쿠스 커레이는 기업들이 환자가 됐다고 충고했다. 
 
커레이는 그 커널 버그에 대해 “고객들에게 마이크로소프트로부터 나오는 패치와 다른 마이그레이션 전략이 담긴 공식 가이드를 기다릴 것을 추천한다”며, 마이크로소프트로부터의 권고를 예상했다 
 
이 시간동안 많은 조직들은 쉽게 패닉에 걸려 제로데이의 공포에 기반한 소셜 엔지니어링 공격의 희생양으로 전락할 수 있다. 
 
4개의 업데이트는 정확하게 미동부 시각으로 11월 8일 오후 1시에 나온다. editor@itworld.co.kr


X