Home > 전체기사

MS, 코덱 라이브러리에서 발견된 2개 취약점 긴급 패치

  |  입력 : 2020-07-02 13:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대용량 미디어 파일 처리하는 윈도우 코덱에서 위험한 취약점 2개 발견돼
원격 코드 실행과 정보 유출 가능케 해주는 취약점...MS가 긴급히 패치


[보안뉴스 문가용 기자] 마이크로소프트가 긴급 보안 패치 두 개를 발표했다. 윈도우 코덱 라이브러리(Windows Codecs Library)에서 발견된 원격 코드 실행 취약점을 해결하기 위해서다. 두 가지 취약점의 위험성은 꽤나 높은 것으로 분석됐다.

[이미지 = utoimage]


윈도우 코덱 라이브러리는 대용량 멀티미디어 파일을 압축하고, 재생 애플리케이션 내에서 다시 압축을 해제하는 데 필요한 OS 구성 요소다. 여기서 발견된 취약점은 다음과 같다.
1) CVE-2020-1425 : 치명적 위험도
2) CVE-2020-1457 : 중요 위험도
패치는 윈도우 10과 윈도우 서버 2019의 여러 세부 버전들에 적용 가능하다.

CVE-2020-1425는 익스플로잇에 성공할 경우 공격자가 원격 코드 실행을 할 수 있게 되며, CVE-2020-1457은 정보 탈취를 가능하게 해준다. 두 취약점 모두 특수하게 조작된 미디어 파일을 본 윈도우 코덱 라이브러리를 사용하는 애플리케이션을 사용해 엶으로써 발동된다.

마이크로소프트는 패치 권고문을 통해 이번 업데이트가 적용되는 모든 버전의 윈도우를 공개하기도 했다. 그러나 오류들에 대한 기술적 세부 내용은 공개되지 않고 있다. 또한 패치 외에 위험을 완화할 방법은 없다고 강조하기도 했다. 윈도우 사용자 입장에서 특별히 패치 적용을 위해 해야 할 일은 없다. 마이크로소프트 스토어를 통해 자동 적용될 예정이기 때문이다.

이 오류를 발견한 건 압둘아지즈 하리리(Absul-Aziz Hariri)라는 보안 전문가라고 한다. 하리리는 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI)를 통해 이 취약점을 알렸다고 한다.

마이크로소프트가 매주 두 번째 화요일 진행하는 정기 패치 외에 긴급 패치를 배포하는 건 드문 일이 아니다. 어지간한 취약점들은 다음 정기 패치일까지 기다렸다가 공개하는 것이 보통이긴 하지만 취약점이 대단히 위험한 성질을 가지고 있다거나 실제 해커들의 활발한 익스플로잇이 발견될 경우 긴급 배포를 실시한다. 이번 코덱 라이브러리 취약점의 경우 실제 익스플로잇이 발견되지는 않았지만 상당히 위험할 수 있다고 판단해 긴급 배포를 하는 것으로 보인다.

한편 마이크로소프트의 정기 패치일 운영의 효용성에 대한 의문이 최근 들어 제기되고 있다. 발표되는 패치의 수가 연속해서 기록을 갱신할 정도로 많아졌기 때문이다. 이번 달에는 129개의 취약점이 패치됐으며, MS의 정기 패치 역사상 최고 높은 수치다. 이렇게 패치할 게 많으면, 정해진 날짜에 패치를 함으로써 취약점 관리를 용이케 한다는 본래의 취지가 상쇄되며, 따라서 ‘정기 패치일이 무슨 소용이냐’라는 목소리가 나오고 있는 것이다.

자동 패치 전에 먼저 최신 보안 업데이트를 받아보고 싶다면 여기(https://support.microsoft.com/en-us/help/4026259/microsoft-store-get-updates-for-apps-and-games)를 통해 목적을 달성할 수 있다.

3줄 요약
1. MS, 정기 패치일 아직 남았는데 긴급 패치 발표.
2. 코덱 라이브러리에서 발견된 두 가지 취약점을 해결하기 위한 것.
3. 하나는 원격 코드 실행, 다른 하나는 정보 노출 취약점임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

alias1005 2020.07.02 14:53

뉴스를 보면서 궁금증이 생겼네요 왜 기사를 쓰면 관련없는 사진을 올리는지 궁금하네요 병원 얘기인지 아니면 취약점 얘기인지 그림으로 구분이 안가네요 언론을 하시는분들이 주제와 관련없는 이미지를 놓는건 유져들이 보는 입장에서 당황케만드네요;;;


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협