Microsoft 보안 권고 2749655

서명된 Microsoft 바이너리에 영향을 주는 호환성 문제

게시된 날짜: 2012년 10월 9일 화요일 | 업데이트된 날짜: 2012년 12월 12일 수요일

버전: 2.0

일반 정보

요약

Microsoft에서는 적절한 타임스탬프 특성 없이 Microsoft에서 생성한 특정 디지털 인증서와 관련된 문제가 있음을 알고 있습니다. 이러한 디지털 인증서는 이후에 일부 Microsoft 핵심 구성 요소 및 소프트웨어 바이너리를 서명하는 데 사용되었습니다. 이로 인해 영향을 받는 바이너리와 Microsoft Windows 간의 호환성 문제가 발생할 수 있습니다. 이는 보안 문제는 아니지만 Microsoft에서 생성하고 서명한 파일의 디지털 서명이 조기에 만료되기 때문에 영향을 받는 Microsoft 구성 요소와 보안 업데이트를 제대로 설치 및 제거하는 데 악영향을 줄 수 있습니다.

고객을 지원하기 위한 사전 조치의 하나로, Microsoft에서는 지원 대상인 Microsoft Windows 릴리스에 대한 비보안 업데이트를 제공하고 있습니다. 이 업데이트를 통해 Microsoft Windows와 영향을 받는 소프트웨어 업데이트 간의 호환성을 확인할 수 있습니다. 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 2749655를 참조하십시오.

또한 Microsoft는 이 문제의 영향을 받는 제품에 대한 업데이트가 출시되는 대로 제공할 예정입니다. 이러한 업데이트는 고객의 요구에 따라 릴리스된 업데이트의 일부로 제공되거나 다른 소프트웨어 업데이트에 포함될 수 있습니다.

권장 사항. 고객은 업데이트 관리 소프트웨어를 사용하거나 Microsoft Update 서비스를 통해 업데이트를 확인하여 KB2749655 업데이트 및 이 문제를 해결하는 릴리스된 모든 업데이트를 즉시 적용하는 것이 좋습니다. 자세한 내용은 이 권고의 사용 가능한 릴리스 목록 및 권장 조치 섹션을 참조하십시오.

사용 가능한 릴리스 목록

Microsoft에서는 고객의 요구에 최대한 부합하기 위해 영향을 받는 업데이트를 다시 릴리스하여 이 문제를 해결하는 경우도 있습니다.

  • 2012년 10월 9일, Microsoft에서는 Windows XP에 대한 KB723135 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-053을 참조하십시오.
  • 2012년 10월 9일, Microsoft에서는 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2에 대한 KB2705219 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-054를 참조하십시오.
  • 2012년 10월 9일, Microsoft에서는 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2에 대한 KB2731847 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-055를 참조하십시오.
  • 2012년 10월 9일, Microsoft에서는 Microsoft Exchange Server 2007 서비스 팩 3(KB2756496), Microsoft Exchange Server 2010 서비스 팩 1(KB2756497) 및 Microsoft Exchange Server 2010 서비스 팩 2(KB2756485)에 대한 업데이트를 다시 릴리스했습니다. 자세한 내용은 MS12-058을 참조하십시오.
  • 2012년 10월 9일, Microsoft에서는 Windows XP에 대한 KB2661254 업데이트를 다시 릴리스했습니다. 자세한 내용은 Microsoft 보안 권고 2661254를 참조하십시오.
  • 2012년 11월 13일, Microsoft에서는 Microsoft Office 2003 서비스 팩 3용 KB2598361 업데이트를 KB2687626 업데이트로 대체했습니다. 자세한 내용은 MS12-046을 참조하십시오.
  • 2012년 12월 11일, Microsoft에서는 Microsoft Office 2003 서비스 팩 3에 설치된 Microsoft XML Core Services 5.0용 KB2687324 업데이트를 KB2687627 업데이트로 대체하고, 영향을 받는 모든 Microsoft Groove 2007, Microsoft Groove Server 2007, Microsoft Office SharePoint Server 2007 에디션과 함께 설치된 Microsoft XML Core Services 5.0용 KB2596679 업데이트를 KB2687497 업데이트로 대체했습니다. 자세한 내용은 MS12-043을 참조하십시오.
  • 2012년 12월 11일, Microsoft에서는 영향을 받는 모든 Microsoft Office 2010 에디션용 KB2553260 업데이트와 KB2589322 업데이트를 KB2687501 업데이트와 KB2687510 업데이트로 각각 대체했습니다. 자세한 내용은 MS12-057을 참조하십시오.
  • 2012년 12월 11일, Microsoft에서는 영향을 받는 모든 Microsoft Visio 2010 에디션용 KB2597171 업데이트를 KB2687508 업데이트로 대체했습니다. 자세한 내용은 MS12-059를 참조하십시오.
  • 2012년 12월 11일, Microsoft에서는 영향을 받는 모든 Microsoft Office 2003, Microsoft Office 2003 Web Components, Microsoft SQL Server 2005 에디션에 설치된 Windows 공용 컨트롤용 KB2687323 업데이트를 KB2726929 업데이트로 대체했습니다. 자세한 내용은 및 MS12-060을 참조하십시오.

다시 릴리스된 업데이트를 설치하지 않을 경우의 영향에 대한 참고 사항  원본 업데이트를 설치한 고객은 업데이트에서 해결한 취약점으로부터 보호됩니다. 그러나 실행 파일 이미지와 같은 잘못 서명된 파일은 원본 업데이트의 서명 프로세스에 사용된 CodeSign 인증서의 만료 후 올바르게 서명된 것으로 간주되지 않으므로 Microsoft Update에서 만료일 이후 일부 보안 업데이트를 설치하지 않을 수 있습니다. 그 밖에 응용 프로그램 설치 관리자에 오류 메시지가 표시되는 등의 영향이 있을 수 있습니다. 타사 응용 프로그램 허용 목록 솔루션도 영향을 받을 수 있습니다. 다시 릴리스된 업데이트를 설치하면 영향을 받는 업데이트의 문제가 완화됩니다.

권고 세부 정보

문제점 참고 자료

이 문제점에 대한 자세한 내용은 다음 참고 자료를 참조하십시오.

참고 자료 번호
Microsoft 기술 자료 문서 2749655 
2756872

영향을 받는 소프트웨어

이 권고와 관련된 업데이트는 다음과 같은 소프트웨어에 해당됩니다.

영향을 받는 소프트웨어
운영 체제
Windows XP 서비스 팩 3
(KB2749655)
Windows XP Professional x64 Edition 서비스 팩 2
(KB2749655)
Windows Server 2003 서비스 팩 2
(KB2749655)
Windows Server 2003 x64 Edition 서비스 팩 2
(KB2749655)
Windows Server 2003 SP2(Itanium 기반 시스템용)
(KB2749655)
Windows Vista 서비스 팩 2
(KB2749655)
Windows Vista x64 Edition 서비스 팩 2
(KB2749655)
Windows Server 2008(32비트 시스템용) 서비스 팩 2
(KB2749655)
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2
(KB2749655)
Windows Server 2008(Itanium 기반 시스템용) 서비스 팩 2
(KB2749655)
Windows 7(32비트 시스템용)
(KB2749655)
Windows 7(32비트 시스템용) 서비스 팩 1
(KB2749655)
Windows 7(x64 기반 시스템용)
(KB2749655)
Windows 7(x64 기반 시스템용) 서비스 팩 1
(KB2749655)
Windows Server 2008 R2(x64 기반 시스템용)
(KB2749655)
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1
(KB2749655)
Windows Server 2008 R2(Itanium 기반 시스템용)
(KB2749655)
Windows Server 2008 R2(Itanium 기반 시스템용) 서비스 팩 1
(KB2749655)
Windows 8(32비트 시스템용)
(KB2756872)
Windows 8(64비트 시스템용)
(KB2756872)
Windows Server 2012
(KB2756872)
Server Core 설치 옵션
Windows Server 2008(32비트 시스템용) 서비스 팩 2(Server Core 설치)
(KB2749655)
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2(Server Core 설치)
(KB2749655)
Windows Server 2008 R2(x64 기반 시스템용)(Server Core 설치)
(KB2749655)
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1(Server Core 설치)
(KB2749655)
Windows Server 2012(Server Core 설치)
(KB2756872)

자주 제기되는 질문 사항(FAQ)

Windows 8 및 Windows Server 2012 용 업데이트는어디에 있습니까?
Windows 8 및 Windows Server 2012용 업데이트는 "Windows 8 클라이언트 및 Windows Server 2012 일반 공개 누적 업데이트"(KB2756872)에 포함됩니다. 자세한 내용과 다운로드 링크는, Microsoft 기술 자료 문서 2756872를 참조하십시오. 또한 이러한 업데이트는 Microsoft UpdateWindows Update에서도 제공됩니다.

이 권고의 범위는 무엇입니까?
이 권고의 목적은 적절한 타임스탬프 없이 Microsoft에서 생성한 디지털 인증서로 서명된 바이너리와 관련된 문제를 고객에게 알리기 위함입니다.

고객을 지원하기 위한 사전 조치의 하나로, Microsoft에서는 지원 대상인 Microsoft Windows 릴리스에 대한 비보안 업데이트를 제공하고 있습니다. 이 업데이트를 통해 Microsoft Windows와 영향을 받는 소프트웨어 업데이트 간의 호환성을 확인할 수 있습니다.

이 문제점은 Microsoft에서 보안 업데이트를 배포해야 하는 보안 취약점입니까?
아니요. 이 업데이트는 Microsoft 고객이 Windows의 보안 관련 기능을 향상시킬 수 있도록 기존 심층 보안 구성 요소를 개선합니다.

이 보안 권고는 보안과 관련되지 않은 업데이트에 해당됩니다. 모순이 아닙니까?
보안 권고는 보안 공지가 필요하지 않은 보안 변경 사항을 해결하지만, 고객의 전반적인 보안에는 영향을 줄 수 있습니다. 보안 권고는 취약점으로 분류되지 않으며 보안 공지가 필요하지 않은 문제점 또는 보안 공지가 발표되지 않는 문제점에 대한 보안 관련 정보를 고객에게 전달하기 위한 Microsoft의 새로운 방법입니다. 이러한 경우 보안 업데이트를 포함하여 향후 고객의 업데이트 수행을 결정하는 업데이트 출시를 알립니다. 그러므로 이 권고는 특정 보안 취약점을 해결하지 않으며 전반적인 보안 문제만 해결합니다.

Microsoft에서는 Windows Authenticode Signature Verification 함수를 사용하는 소프트웨어 및 구성 요소의 장기적 안정성과 호환성을 개선하기 위해 이 구성 요소에 대한 업데이트를 배포하고 있습니다.

이 문제점의 원인은 무엇입니까?
이 문제점은 Microsoft 핵심 구성 요소 및 소프트웨어의 인증서를 생성하고 서명하는 과정에서 타임스탬프 EKU(확장된 키 사용) 확장이 누락되어 발생합니다. 2012년 중 두 달 동안 사용된 일부 인증서에 X.509 타임스탬프 EKU(확장된 키 사용) 확장이 포함되지 않았습니다.

업데이트는 어떤 기능을 수행합니까?
이 업데이트는 타임스탬프 EKU(확장된 키 사용) 확장을 사용하지 않은 특정 인증서로 서명된 모든 소프트웨어가 계속 작동하도록 도와줍니다. 소프트웨어의 작동을 연장하기 위해 WinVerifyTrust에서 이러한 특정 X.509 서명에 대한 타임스탬프 EKU 누락을 무시합니다.

Microsoft에서 이 문제를 해결하는 비보안 업데이트를 릴리스한 경우 게시판을 다시 릴리스하는 이유는 무엇입니까?
업데이트는 Windows 또는 Internet Explorer에서 파일을 보거나 실행하는 경우와 같이 인증서에서 Windows Authenticode Signature Verification을 사용하는 주요 사례를 해결합니다. 그러나 모든 인증서 용도 및 유효성 검사 기능을 해결하려면 타사 CodeSign 유효성 검사가 제대로 작동하는지 확인하기 위해 영향을 받는 패키지 및 소프트웨어도 업데이트하고 다시 릴리스해야 합니다.

이 업데이트를 설치하지 않으면 어떤 영향이 있습니까?
이 업데이트가 없으면 실행 파일 이미지와 같은 잘못 서명된 파일이 서명 프로세스에 사용된 CodeSign 인증서의 만료 후 올바르게 서명된 것으로 간주되지 않습니다. 예를 들어 이 업데이트가 설치되지 않은 경우 Windows Update에서 만료일 이후에 일부 보안 업데이트를 설치하지 않습니다. 그 밖에 응용 프로그램 설치 관리자에 오류 메시지가 표시되는 등의 영향이 있을 수 있습니다. 타사 응용 프로그램 허용 목록 솔루션도 영향을 받을 수 있습니다.

영향을 받는 코드 서명 인증서는 언제 만료됩니까?
CodeSign 인증서의 만료 날짜를 다양합니다. 가장 빠른 만료 날짜는 2012년 11월입니다.

타임스탬프 EKU (확장된 키 사용) 확장은 어떤 용도로 사용됩니까?
타임스탬프 EKU(확장된 키 사용) 확장은 RFC3280에 따라 개체의 해시를 시간에 바인딩하는 데 사용됩니다. 이러한 서명된 문은 특정 시점에 서명이 존재한 사실을 증명하며, 코드 무결성 상황에서 코드 서명 인증서가 만료된 경우 인증서가 만료되기 전에 서명되었음을 확인하는 데 사용됩니다. 인증서 타임스탬프에 대한 자세한 내용은 인증서 작동 방식Windows Authenticode 이식 가능한 실행 파일 서명 형식을 참조하십시오.

디지털 서명이란 무엇입니까?
공개 키 암호에서 키 중 하나인 개인 키는 비밀로 유지해야 합니다. 다른 키인 공개 키는 외부에 제공하는 것을 목적으로 하지만 외부에 키의 소유자를 알릴 수 있는 방법이 있어야 합니다. 디지털 인증서가 이러한 방법을 제공합니다. 디지털 인증서는 개인, 조직 및 컴퓨터의 온라인 ID를 증명하는 데 사용되는 전자 자격 증명입니다. 디지털 인증서에는 인증서 정보(예: 소유자, 목적, 만료 기한 등)와 함께 패키지로 제공된 공개 키가 포함되어 있습니다.

이 문제를 영향을 받는 인증서의 손상을 나타냅니까?
아니요. 영향을 받는 인증서는 어떤 식으로도 손상도지 않습니다. 그리고 현재까지는 고객에 미치는 영향에 대해 보고 받은 바 없습니다.

the Windows Authenticode Signature Verification 함수란 무엇입니까?
Windows Authenticode Signature Verification 함수 또는 WinVerifyTrust는 지정된 개체에서 신뢰할 수 있는 확인 작업을 수행합니다. 이 함수는 작업 식별자를 지원하는 신뢰할 수 있는 공급자(있는 경우)에게로 조회를 넘깁니다. WinVerifyTrust 함수는 다음 두 가지 작업을 수행합니다. 지정된 개체에서 서명 확인 및 신뢰할 수 있는 확인 작업 자세한 내용은 WinVerifyTrust 함수를 참조하십시오.

이 문제는 개발자에게 어떤 영향을 줍니까?
개발자는 자신의 응용 프로그램에서 영향을 받는 재배포 가능 파일을 사용할 경우 이 문제의 영향을 받을 수 있습니다. 개발자의 응용 프로그램을 사용하는 시스템에서 이 업데이트를 적용하면 문제가 완화됩니다. 또한 Microsoft에서는 영향을 받는 재배포 가능 파일의 업데이트된 버전을 게시할 예정입니다. 개발자는 이러한 버전을 해당 응용 프로그램의 향후 업데이트에 포함해야 합니다.

권장 조치

지원 대상인 Microsoft Windows 릴리스에 대한 업데이트 적용

대다수의 고객은 자동 업데이트를 사용하고 있기 때문에 따로 조치를 취할 필요가 없습니다. KB2749655 업데이트가 자동으로 다운로드되고 설치됩니다. 자동 업데이트를 사용하고 있지 않은 고객은 수동으로 업데이트를 확인하고 이 업데이트를 설치해야 합니다. 자동 업데이트의 특정 구성 옵션에 대한 자세한 내용은 Microsoft 기술 자료 문서 294871을 참조하십시오.

관리자 및 엔터프라이즈 설치 또는 업데이트를 수동으로 설치하려는 최종 사용자의 경우, 업데이트 관리 소프트웨어를 사용하거나 Microsoft Update 서비스를 통해 업데이트를 확인하여 KB2749655 업데이트 및 이 문제를 해결하는 다시 릴리스된 모든 업데이트를 즉시 적용하는 것이 좋습니다. 업데이트를 수동으로 적용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2749655를 참조하십시오.

추가 권장 조치

  • PC 보호

    Microsoft에서 제공하는 컴퓨터 보호 지침을 따라 방화벽을 사용하고 소프트웨어를 업데이트하고 안티바이러스 소프트웨어를 설치할 것을 권장합니다. 자세한 내용은 Microsoft 안전 및 보안 센터를 참조하십시오.

  • Microsoft 소프트웨어 업데이트 상태 유지

    Microsoft 소프트웨어 사용자는 최신 Microsoft 보안 업데이트를 적용하여 보호 수준을 최신 상태로 유지해야 합니다. 소프트웨어가 최신 상태인지 잘 모르는 경우 Microsoft Update를 방문하여 컴퓨터에 사용 가능한 업데이트가 있는지 검색하고, 제공되는 중요 업데이트를 모두 설치합니다. 자동 업데이트를 사용하고 Microsoft 제품에 업데이트를 제공하도록 구성한 경우 업데이트가 출시됨과 동시에 사용자에게 전달되지만, 설치가 되었는지 확인해야 합니다.

기타 정보

사용자 의견

지원

  • 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
  • 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 자세한 내용은 국가별 지원 웹 사이트를 참조하십시오.
  • Microsoft TechNet Security는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

개정 내역

  • V1.0(2012년 10월 9일): 권고가 게시되었습니다.
  • V1.1(2012년 10월 9일): 이 권고와 관련된 Windows 8 및 Window Server 2012용 업데이트는 "Windows 8 클라이언트 및 Windows Server 2012 일반 공개 누적 업데이트"(KB2756872)에 포함된다는 것을 설명하였습니다. 이 변경 사항은 정보에만 해당됩니다. 자세한 내용은 권고 FAQ를 참조하십시오.
  • V1.2(2012년 11월 13일): MS12-046에 설명된 KB2687626 업데이트를 사용 가능한 릴리스 목록에 추가하였습니다.
  • V2.0(2012년 12월 12일): MS12-043에 설명된 KB2687627과 KB2687497 업데이트, MS12-057에 설명된 KB2687501과 KB2687510 업데이트, MS12-059에 설명된 KB2687508 업데이트, MS12-060에 설명된 KB2726929 업데이트를 사용 가능한 릴리스 목록에 추가하였습니다.

Built at 2014-04-18T13:49:36Z-07:00