적용 대상:
Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
요약
이 보안 업데이트는 다음을 허용할 수 있는 Microsoft .NET Framework의 취약성을 해결합니다.
-
.NET Framework 소프트웨어가 파일의 원본 마크업을 확인하지 않는 경우의 원격 코드 실행 취약성. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한을 사용하여 로그온한 경우 공격자가 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 확인/변경/삭제하거나, 전체 사용자 권한이 있는 새 계정을 만들 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한을 가진 사용자보다 영향을 덜 받을 수 있습니다.
이 취약성을 악용하려면 사용자가 영향받는 .NET Framework 버전에서 특수 제작된 파일을 열어야 합니다. 전자 메일 공격 시나리오에서 공격자는 특수 제작된 파일을 사용자에게 보내고 사용자가 이 파일을 열도록 유도하는 방식으로 이 취약성을 악용할 수 있습니다.
이 보안 업데이트는 .NET Framework가 파일의 원본 마크업을 확인하는 방식을 수정하여 취약성을 해결합니다.Microsoft의 일반적인 취약성 및 노출 CVE-2019-0613을 참조하세요.
이 취약성에 대해 자세히 알아보려면 -
URL을 구문 분석하는 특정 .NET Framework API의 취약성. 이 취약성 악용에 성공한 공격자는 사용자가 입력한 URL이 특정 호스트 이름이나 해당 호스트 이름의 하위 도메인에 속하는지를 확인하기 위한 보안 논리를 우회하는 데 취약성을 이용할 수 있습니다. 예를 들어 신뢰할 수 없는 서비스를 신뢰할 수 있는 서비스로 가장하여 해당 서비스에 대한 권한 있는 통신을 수행하는 데 이 취약성을 사용할 수 있습니다.
취약성을 악용하려는 공격자는 URL이 특정 호스트 이름 또는 해당 호스트 이름의 하위 도메인에 속하는지 확인을 시도하는 응용 프로그램에 URL 문자열을 제공해야 합니다. 그러면 응용 프로그램은 해당 URL에 대한 HTTP 요청을 직접 수행하거나 공격자가 제공한 URL의 처리된 버전을 웹 브라우저에 전송하는 방식으로 수행해야 합니다.Microsoft의 일반적인 취약성 및 노출 CVE-2019-0657을 참조하세요.
이 취약성에 대해 자세히 알아보려면
중요
-
모든 .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2용 업데이트를 적용하려면 d3dcompiler_47.dll 업데이트를 설치해야 합니다. 이 업데이트를 적용하기 전에 포함된 d3dcompiler_47.dll 업데이트를 설치하는 것이 좋습니다. d3dcompiler_47.dll에 대한 자세한 내용은 KB 4019990을 참조하세요.
-
이 업데이트를 설치한 후에 언어 팩을 설치하는 경우 이 업데이트를 다시 설치해야 합니다. 따라서 이 업데이트를 설치하기 전에 필요한 모든 언어 팩을 설치하는 것이 좋습니다. 자세한 내용은 Windows에 언어 팩 추가를 참조하세요.
이 업데이트에 대한 추가 정보
다음 문서에는 개별 제품 버전과 관련된 이 업데이트에 대한 추가 정보가 나와 있습니다.
보호 및 보안 관련 정보
-
온라인에서 스스로를 보호하는 방법: Windows 보안 지원
-
Microsoft에서 사이버 위협으로부터 사용자를 보호하는 방법 알아보기: Microsoft 보안