Windows Server 2008 SP2의 .NET Framework 2.0, 3.0, 4.5.2, 4.6용 보안 및 품질 롤업(KB4556402)

요약

.NET Framework에 공격자가 자신의 권한 수준을 상승시키도록 허용할 수 있는 권한 상승 취약성이 존재합니다. 이 취약성을 악용하기 위해 공격자는 먼저 로컬 컴퓨터에 로그온하고 악성 프로그램을 실행해야 합니다. 이 업데이트는 .NET Framework가 COM 개체를 활성화하는 방식을 수정하여 취약성을 해결합니다.

이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.

• CVE-2020-1066

.NET Framework 소프트웨어가 파일의 원본 마크업을 확인하지 못하는 경우 이 소프트웨어에는 원격 코드 실행 취약성이 존재합니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우 공격자가 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하여 사용자의 모든 권한으로 데이터를 보거나 변경하거나 삭제할 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다. 이 취약성을 악용하려면 사용자가 영향받는 .NET Framework 버전에서 특수 제작된 파일을 열어야 합니다. 전자 메일 공격 시나리오에서 공격자는 특수 제작된 파일을 사용자에게 보내고 사용자가 이 파일을 열도록 유도하는 방식으로 이 취약성을 악용할 수 있습니다. 이 보안 업데이트는 .NET Framework가 파일의 원본 마크업을 확인하는 방식을 수정하여 취약성을 해결합니다.

이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.

• CVE-2020-0605

.NET Framework가 웹 요청을 부적절하게 처리하는 경우 서비스 거부 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 .NET Framework 웹 응용 프로그램에 대한 서비스 거부 공격을 발생시킬 수 있습니다. 이 취약성은 인증을 거치지 않고 원격으로 악용될 수 있습니다. 원격으로 인증되지 않은 공격자는 .NET Framework 응용 프로그램에 특수 제작된 요청을 보내는 방식으로 이 취약성을 악용할 수 있습니다. 이 업데이트는 .NET Framework 웹 응용 프로그램이 웹 요청을 처리하는 방식을 수정하여 취약성을 해결합니다.

이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.

• CVE-2020-1108

이 업데이트에 대한 추가 정보

다음 문서에는 개별 제품 버전과 관련된 이 업데이트에 대한 추가 정보가 나와 있습니다.

• 4552939 Windows Server 2008 SP3.0의 .NET Framework 2.0, 3.0용 보안 및 품질 롤업에 대한 설명(KB4552939)

• 4552920 Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2의 .NET Framework 4.5.2용 보안 및 품질 롤업에 대한 설명(KB4552920)

• 4552919 Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2의 .NET Framework 4.6용 보안 및 품질 롤업에 대한 설명(KB4552919)

보호 및 보안 관련 정보

• 온라인에서 스스로를 보호하는 방법: Windows 보안 지원

• Microsoft에서 사이버 위협으로부터 사용자를 보호하는 방법 알아보기: Microsoft 보안