NHN Hosting

1차

hns1.nsgodo.com
IP: 180.210.127.112
2차

hns2.nsgodo.com
IP: 211.233.51.3

안녕하세요. nhngodo 입니다. 정부에서 2020년까지 공공분야 및 민간웹사이트 액티브x 폐지 및 개선 권고안내로 인해 액티브X로 구현되어 있는 호스팅용 고도 통합 웹 FTP 제공을 2019년에 종료 예정에 있습니다. 추후 더 좋은 서비스로 제공 예정이오니 많은 양해 부탁 드리며, 이에 따라 해당 고도 FTP 대신 아래 링크를 통하여 FTP 프로그램을 설치하여 사용하시기를 권장해드립니다.

액티브X란? Internet Explore 사용자가 웹서비스를 이용하는데 필요한 응용 프로그램을 컴퓨터에 자동으로 설치해주는 기술로 컴퓨터의 보안을 일시적으로 해제하는 기능이 있어 보안에 취약하여 정부에서도 액티브 X를 폐지하라고 권고하고 있습니다.

제목	MS윈도우 그래픽랜더링엔진에 대한 원격코드실행 취약점주의	조회수	2,594건
□ 개요 o MS 윈도우의 그래픽 랜더링 엔진에서 특수하게 조작된 섬네일 이미지(thumbnail image)를 파싱하는 과정 중에 원격코드실행 취약점이 존재[1, 2, 3] o 공격자는 특수하게 조작된 섬네일 이미지를 담고 있는 MS 오피스 파일을 이메일에 첨부, 메신저를 통한 파일전송, 공유폴더 게시하는 방법 등으로 사용자가 열어보거나 미리보기를 하도록 유도하여 악성코드를 유포할 수 있음 o 해당 취약점의 개념증명코드[4, 5]가 공개되었으므로 사용자의 주의가 요구됨 □ 관련 취약점 : - Microsoft Windows Graphics Rendering Engine Buffer Overflow Vulnerability - CVE-2010-3970 [6] □ 해당 시스템 o 영향 받는 소프트웨어 [1, 2] - MS Windows XP SP3 - MS Windows XP Professional x64 Edition SP2 - MS Windows Server 2003 SP2 - MS Windows Server 2003 x64 Edition SP2 - MS Windows Server 2003 SP2 (Itanium) - MS Windows Vista SP1, SP2 - MS Windows Vista x64 Edition SP1, SP2 - MS Windows Server 2008 (32-bit), SP2 - MS Windows Server 2008 (x64), SP2 - MS Windows Server 2008 (Itanium), SP2 □ 임시 권고 사항 o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음 o 취약점으로 인한 위협을 경감시키기 위해 다음과 같은 조치를 취할 수 있음 - shimgvw.dll의 접근제어목록(ACL)을 변경[2] ※ 해당 조치로 인해 그래픽 랜더링 엔진을 통해 처리되는 미디어파일이 적절하게 표시되지 않을 수 있으므로 주의가 필요함 o KrCERT/CC와 MS 보안업데이트 사이트[7]를 주기적으로 확인하여 해당 취약점에 대한 보안업데이트 발표 시 신속히 최신 업데이트를 적용하거나 자동업데이트를 설정 ※ 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택 o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함 - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용 - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화 - 신뢰되지 않는 웹 사이트는 방문하지 않음 - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제 □ 용어 정리 o 섬네일 이미지(thumbnail image) : 손톱 크기의 미리보기용 그림으로 원본 그림이나 파일에 대응하는 작은 이미지를 말함 o shimgvw.dll : 윈도우에서 그림, 팩스 등을 로딩하고 열어보는데 필요한 기능들이 구현된 파일 o 접근제어목록(ACL, Access Control List) : MS 윈도우 NT 이상에서 파일과 폴더 같은 리소스를 보호하는데 사용되는 메커니즘으로 객체에 대한 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 목록