□ 2006년 8월 발표한 MS 월간 보안 업데이트 중 MS Internet Explorer 누적 보안업데이트시 발생
하는 문제점을 해결하는 패치가 재배포되었으니, 피해 예방을 위하여 윈도우즈 보안 업데이트를
반드시 수행하시기 바랍니다.
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 공격자는 악의적인 웹 사이트를 구성하여 사용자가 해당 사이트에 방문하도록 유도함.
공격이 성공하면 공격자는 영향받는 시스템에 대해 완전한 권한 획득 가능 (CVE-2006-3450,
CVE-2006-3451, CVE-2006-3637, CVE-2006-3638, CVE-2006-3639)
o 공격자는 악의적인 웹 사이트를 구성하여 사용자가 해당 사이트에 방문하도록 유도함.
공격이 성공하면 공격자는 영향받는 시스템으로부터 정보 획득 및 권한 상승 가능
(CVE-2006-3280, CVE-2006-3640, CVE-2004-1166)
o 관련취약점
- Redirect Cross-Domain Information Disclosure Vulnerability - CVE-2006-3280
- HTML Layout and Positioning Memory Corruption Vulnerability - CVE-2006-3450
- CSS Memory Corruption Vulnerability - CVE-2006-3451
- HTML Rendering Memory Corruption Vulnerability - CVE-2006-3637
- COM Object Instantiation Memory Corruption Vulnerability - CVE-2006-3638
- Source Element Cross-Domain Vulnerability - CVE-2006-3639
- Window Location Information Disclosure Vulnerability - CVE-2006-3640
- FTP Server Command Injection Vulnerability CVE-2004-1166
o 영향 : 원격 코드 실행
o 중요도 : 긴급
※ 기존문제점 :
MS Windows Service Pack Version 1.0과 IE 6.0을 사용하는 사용자에 한하여 MS Internet
Explorer 누적 보안업데이트[MS06-042]를 패치하더라도 해당 취약점에 노출 되어 있음.