마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2015년 1월 정기 보안 업데이트가 발표 되었습니다.
이번 엡데이트에서는 Microsoft Windows 제품군에서 발견된 보안취약점(8건)을 해결한 8건의 보안 패치(긴급1, 중요7)와
1건의 보안권고(개정1), 1건의 개정 된 보안 공지로 이루어져 있습니다.
이번 업데이트에 포함 된 보안 권고 1건과 개정 된 보안공지의 정보는 아래와 같습니다.
■ 개정된 보안 공지 MS14-080 Internet Explorer용 누적 보안 업데이트(3008923)
개정된 내용:
보안 업데이트 3008923의 문제를 해결하기 위해 Microsoft는 MS14-080을 다시 릴리스하여 포괄적으로 CVE-2014-6363을 해결했습니다.
Windows 8, Windows Server 2012 또는 Window RT에서 Internet Explorer 10을 실행하는 고객은 업데이트 3008923을 설치하고, 이 릴리스에 추가된 업데이트 3029449도 설치해야 합니다. 원본 릴리스 후 변경되지 않은 3008923 업데이트를 이미 설치한 고객은 이 업데이트를 다시 설치할 필요가 없습니다.
자세한 내용은 Microsoft 기술 자료 문서 3008923을 참조하십시오.
상세 정보:
https://technet.microsoft.com/library/security/ms14-080
https://support.microsoft.com/kb/3008923
■ 개정된 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트
개정된 내용:
Microsoft는 2015년 1월 14일 Windows 8, Windows Server 2012, Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview 및 Windows Server Technical Preview의 Internet Explorer 11에 대한 업데이트(3024663)를 발표했습다.
이 업데이트는 Adobe 보안 공지 APSB15-01에 설명된 취약성을 해결합니다. 다운로드 링크를 포함하여 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 3024663를 참조하십시오.
상세 정보:
1. MS15-001 (중요) : Windows 응용 프로그램 호환성 캐시의 취약성으로 인한 권한 상승 문제(3023266)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다.
공격자가 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 인증된 공격자는 Microsoft Windows 응용 프로그램 호환성 구성 요소에서 캐시 수정 중에 수행되는 기존 권한 확인을 우회하고 상승된 권한을 사용하여 임의 코드를 실행할 수 있습니다.
- Microsoft 응용 프로그램 호환성 인프라 권한 상승 취약성(CVE-2015-0002)
2. MS15-002 (긴급) : Windows 텔넷 서비스의 취약성으로 인한 원격 코드 실행 문제(3020393)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다.
공격자가 영향 받는 Windows 서버에 특수 제작된 패킷을 보낼 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 기본적으로 텔넷은 영향 받는 운영 체제 릴리스에 설치되지 않습니다. 이 서비스를 수동으로 설치하는 고객만 취약할 가능성이 있습니다.
- Windows 텔넷 서비스 버퍼 오버플로 취약성(CVE-2015-0014)
3. MS15-003 (중요) : Windows 사용자 프로필 서비스의 취약성으로 인한 권한 상승 문제(3021674)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다.
공격자가 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 로컬 공격자는 대상 시스템에서 상승된 권한을 사용하여 임의 코드를 실행할 수 있습니다. 이 취약성을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온 할 수 있어야 합니다.
- Microsoft 사용자 프로필 서비스 권한 상승 취약성(CVE-2015-0004)
4. MS15-004 (중요) : Windows 구성 요소의 취약성으로 인한 권한 상승 문제(3025421)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다.
이 취약성으로 인해 공격자가 특수 제작된 응용 프로그램을 실행하도록 사용자를 유도할 경우 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.
- 디렉터리 탐색 권한 상승 취약성(CVE-2015-0016)
5. MS15-005 (중요) : 네트워크 위치 인식 서비스의 취약성으로 인한 보안 기능 우회 문제(3022777)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다.
희생자와 동일한 네트워크의 공격자가 희생자가 시작한 DNS 및 LDAP 트래픽에 대한 응답을 스푸핑하는 경우 이 취약성은 특정 서비스의 방화벽 정책 및/또는 구성을 의도치 않게 완화하여 보안 기능 우회를 허용할 수 있습니다.
- NLA 보안 기능 우회 취약성(CVE-2015-0006)
6. MS15-006 (중요) : Windows 오류 보고의 취약성으로 인한 보안 기능 우회 문제(3004365)
이 보안 업데이트는 비공개적으로 보고된 WER(Windows 오류 보고)의 취약성을 해결합니다.
이 취약성은 공격자가 악용에 성공한 경우 보안 기능 우회를 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 실행 프로세스의 메모리에 대한 액세스 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.
- Windows 오류 보고의 보안 기능 우회 취약성(CVE-2015-0001)
7. MS15-007 (중요) : 네트워크 정책 서버 RADIUS 구현의 취약성으로 인한 서비스 거부 문제(3014029)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다.
이 취약성은 공격자가 특수 제작된 사용자 이름 문자열을 IAS 또는 NPS에 보내는 경우 IAS(인터넷 인증 서비스) 또는 NPS(네트워크 정책 서버)에서 서비스 거부를 허용할 수 있습니다. 서비스 거부 취약성으로 인해 공격자가 코드를 실행하거나 사용자 권한이 상승되는 것은 아니지만, IAS 또는 NPS에서 RADIUS 인증이 방지될 수 있습니다.
- 네트워크 정책 서버 RADIUS 구현의 서비스 거부 취약성(CVE-2015-0015)
8. MS15-008 (중요) : Windows 커널 모드 드라이버의 취약성으로 인한 권한 상승 문제(3019215)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성 1건을 해결합니다.
이 취약성으로 인해 공격자가 영향 받는 시스템에서 특수 제작된 응용 프로그램을 실행하면 권한 상승이 허용될 수 있습니다. 이 취약성을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온 할 수 있어야 합니다.
- WebDAV 권한 상승 취약성(CVE-2015-0011)
'Windows Update' 카테고리의 다른 글
| 마이크로소프트(Microsoft), 2015년 3월 정기 보안 업데이트 (2015년 3월 11일) (0) | 2015.03.11 |
|---|---|
| 마이크로소프트(Microsoft), 2015년 2월 정기 보안 업데이트 (2015년 2월 11일) (0) | 2015.03.06 |
| 마이크로소프트(Microsoft), 2014년 12월 정기 보안 업데이트 (2014년 12월 10일) (0) | 2014.12.12 |
| [긴급업데이트]마이크로소프트(Microsoft) - MS14-068(KB3011780) : 2014년 11월 19일 (0) | 2014.11.26 |
| 마이크로소프트(Microsoft), 2014년 11월 정기 보안 업데이트 (2014년 11월 12일) (0) | 2014.11.12 |
댓글