IE 8 보안 업데이트

2008.04.13 05:43 from [IT] Web Tech
from IE 8 Security Updates on Ajaxian

Microsoft가 일련의 보안 업데이트를 내보냈습니다. 그 중에는 IE8 보안 Part I: DEP/NX 메모리 보호 에 언급된 것도 있었습니다.

다음 몇 주에 걸쳐, 우리는 안전 필터같은 Beta 1의 보안 개선과 보다 안전한 매시업을 위한 AJAX 기능(XDomainRequest과 XDM)에 대해 상세히 블로그에 올릴까 합니다. 이것이 릴리스의 보안 노력의 전체 목록은 아닙니다. 곧 앞으로의 마일스톤이 진행되는 동안 더 말할 기회가 있을 것입니다.

Internet Explorer 8 보안 기능은 보안 허점의 세가지 주요 원인에 주목했습니다: 소셜 엔지니어링(social engineering), 웹 서버, 그리고 브라우저 취약성. 이 글은 브라우저의 취약성을 보완해주는 기능인 IE 8의 데이터 실행 방지(DEP)에 대해 다룹니다.

Eric은 이어 DEP에 대해서 상세히 설명했습니다:

Windows Vista에서의 Internet Explorer 7은  인터넷 옵션에서 “온라인 공격 방지를 위해 메모리 보호 사용” 옵션이 꺼져있는 것이 기본값입니다. 이 옵션이 데이터 실행 방지(DEP) 혹은 실행 방지에 관련되어 있습니다.

Windows Server 2008과 Windows Vista SP1 혹은그 이후 버전에서 Internet Explorer 8는 기본값으로 이 옵션을 사용합니다.

DEP/NX는 실행 불가능으로 표시한 메모리에서 코드가 실행되는 것을 막음으로써 공격을 차단합니다. DEP/NX는 주소 공간 레이아웃 불규칙화(ASLR)같은 다른 기술과 조합되면 버퍼 오버런(overrun)과 같은 메모리 관련 취약성에 대한 공격을 어렵게 합니다. 가장 좋은 점은, 이러한 방지기술이 Internet Explorer와 로드된 추가 기능에도 적용된다는 것입니다. 이런 보호를 제공하기 위해 사용자의 추가 행동이나 입력창을 필요로 하지 않습니다.

그들은 또한 이런 글도 포스팅했습니다:

  • IE 자동 컴포넌트 활성화 가능: ActiveX를 포함하면 나타나던 "이 컨트롤을 활성화 하려면 클릭..."이라는 문구가 Internet Explorer에서 이제 완전히 사라지게 됐습니다.
  • IE 4월 보안 업데이트: 2008년 4월의 IE 누적 보안 패치가 Windows Update 사이트를 통해 사용 가능합니다.

Posted by 행복한고니 트랙백 0 : 댓글 0

댓글을 달아 주세요