적용 대상:
Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2, Microsoft .NET Framework 4.8
중요 이 업데이트를 설치하기 전에 이 업데이트를 설치하는 방법 섹션에 나와 있는 필수 업데이트를 설치했는지 확인하세요.
중요 Windows Server 2008 R2 SP1을 사용하고 2020년 1월 14일 업데이트를 설치하기 전에 ESU MAK(복수 정품 인증 키)를 활성화한 일부 고객은 키를 다시 활성화해야 할 수도 있습니다. 영향을 받는 장치에서 다시 활성화하는 것은 한 번만 필요합니다. 활성화에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.
중요 WSUS 스캔 cab 파일은 Windows 7 SP1 및 Windows Server 2008 R2 SP1에서 계속 사용할 수 있습니다. ESU 없이 이러한 운영 체제를 실행하는 장치 하위 집합을 가지고 있다면 패치 관리 및 규정 준수 도구 집합에 비호환으로 표시될 수 있습니다.
중요 이러한 온-프레미스 버전 운영 체제용 ESU(추가 보안 업데이트)를 구입한 고객은 2020년 1월 14일에 추가 지원이 종료된 후에도 보안 업데이트를 계속 받으려면 지정된 KB4522133에 있는 절차에 따라야 합니다. ESU 및 지원되는 버전에 대한 자세한 내용은 KB4497181을 참조하세요.
중요 2020년 1월 15일부터 Windows 7 서비스 팩 1을 계속할 경우 발생하는 위험을 알려주는 전체 화면 알림이 표시됩니다. 알림은 이를 확인할 때까지 화면에 그대로 표시됩니다. 이 알림은 Windows 7 서비스 팩 1의 다음 버전에서만 표시됩니다.
참고 알림은 도메인 결합 컴퓨터 또는 키오스크 모드에 있는 컴퓨터에는 표시되지 않습니다.
-
Starter.
-
Home Basic.
-
Home Premium.
-
Professional. ESU(추가 보안 업데이트)를 구입한 경우에는 알림이 표시되지 않습니다. 자세한 내용은 자격이 되는 Windows 장치의 추가 보안 업데이트를 받는 방법 및 수명 주기 FAQ-추가 보안 업데이트를 참조하세요.
-
Ultimate.
중요 2019년 8월부터 Windows Server 2008 R2 SP1, Windows 7SP1의 .NET Framework 4.6 이상으로 업데이트할 경우 SHA-2 코드 서명 지원이 필요합니다. 실치 문제를 예방하려면 이 업데이트를 적용하기 전에 최신 Windows 업데이트를 모두 설치했는지 확인하세요. SHA-2 코드 서명 지원에 대한 자세한 내용은 KB 4474419를 참조하세요.
중요 모든 .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1, 4.6용 업데이트를 적용하려면 d3dcompiler_47.dll 업데이트를 설치해야 합니다. 이 업데이트를 적용하기 전에 포함된 d3dcompiler_47.dll 업데이트를 설치하는 것이 좋습니다. d3dcompiler_47.dll에 대한 자세한 내용은 KB 4019990을 참조하세요.
중요 이 업데이트를 설치한 후 언어 팩을 설치하는 경우 이 업데이트를 다시 설치해야 합니다. 따라서 이 업데이트를 설치하기 전에 필요한 모든 언어 팩을 설치하는 것이 좋습니다. 자세한 내용은 Windows에 언어 팩 추가를 참조하세요.
요약
.NET Framework에 공격자가 자신의 권한 수준을 상승시키도록 허용할 수 있는 권한 상승 취약성이 존재합니다. 이 취약성을 악용하기 위해 공격자는 먼저 로컬 컴퓨터에 로그온하고 악성 프로그램을 실행해야 합니다. 이 업데이트는 .NET Framework가 COM 개체를 활성화하는 방식을 수정하여 취약성을 해결합니다.
이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.
.NET Framework 소프트웨어가 파일의 원본 마크업을 확인하지 못하는 경우 이 소프트웨어에는 원격 코드 실행 취약성이 존재합니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우 공격자가 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하여 사용자의 모든 권한으로 데이터를 보거나 변경하거나 삭제할 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다. 이 취약성을 악용하려면 사용자가 영향받는 .NET Framework 버전에서 특수 제작된 파일을 열어야 합니다. 전자 메일 공격 시나리오에서 공격자는 특수 제작된 파일을 사용자에게 보내고 사용자가 이 파일을 열도록 유도하는 방식으로 이 취약성을 악용할 수 있습니다. 이 보안 업데이트는 .NET Framework가 파일의 원본 마크업을 확인하는 방식을 수정하여 취약성을 해결합니다.
이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.
.NET Framework가 웹 요청을 부적절하게 처리하는 경우 서비스 거부 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 .NET Framework 웹 응용 프로그램에 대한 서비스 거부 공격을 발생시킬 수 있습니다. 이 취약성은 인증을 거치지 않고 원격으로 악용될 수 있습니다. 원격으로 인증되지 않은 공격자는 .NET Framework 응용 프로그램에 특수 제작된 요청을 보내는 방식으로 이 취약성을 악용할 수 있습니다. 이 업데이트는 .NET Framework 웹 응용 프로그램이 웹 요청을 처리하는 방식을 수정하여 취약성을 해결합니다.
이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.
이 업데이트에 대한 추가 정보
다음 문서에는 개별 제품 버전과 관련된 이 업데이트에 대한 추가 정보가 나와 있습니다.
-
4552940 Windows 7 SP1 및 Windows Server 2008 R2 SP1의 .NET Framework 3.5.1용 보안 및 품질 롤업에 대한 설명(KB4552940)
-
4552920 Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2의 .NET Framework 4.5.2용 보안 및 품질 롤업에 대한 설명(KB4552920)
-
4552919 Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2의 .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2용 보안 및 품질 롤업에 대한 설명(KB4552919)
-
4552921 Windows 7 SP2 및 Windows Server 2008 R1 SP1의 .NET Framework 4.8용 보안 및 품질 롤업에 대한 설명(KB4552921)
보호 및 보안 관련 정보
-
온라인에서 스스로를 보호하는 방법: Windows 보안 지원
-
Microsoft에서 사이버 위협으로부터 사용자를 보호하는 방법 알아보기: Microsoft 보안
