2008년 01월 08일
MS, 오피스 2003 보안 정보 제공「실수」인정
Richard Thurston ( ZDNet UK ) 2008/01/08 
마이크로소프트(MS)가 오피스 2003에 관해 발표한 보안 주의보에서 실수를 했다고 인정했다.
작년 12월 게재된 주의보는 이용자들에게 수십 개 파일 포맷의 보안이 부실하기 때문에 오피스 2003 최신 서비스 팩인 서비스팩3(SP3)에서 차단됐다고 알렸다.
주의보는 포맷 차단을 원하지 않는 이용자들을 위한 회피방법을 제공했지만, 프로세스가 복잡하고 잘못 적용할 경우 PC 작동을 멈출 수 있는 레지스트리 변경이 필요했다.
4일(미국시간), MS는 자사가 제공한 정보가 잘못 됐으며, 이용자들의 피해를 과소평가했다고 인정했다. 회사 측에 따르면 현재 보안이 부실한 것은 파일 포맷이 아니라, 파일 유형을 열고 저장하기 위해 오피스 2003이 사용하는 파싱 코드(parsing code)라고 한다.
4일 MS 오피스 세계 제품 관리자 리드 샤프너는 회사가 제공한 주의보가 정확하지 않았으며 수동 레지스트리 수정이 최종 사용자가 실행하기 어려웠다는 점을 ZDNet을 통해 인정했다.
수정을 실행하기 쉽게 만들지 않은 이유를 묻자 샤프너는 "이용자들에게 피해가 없을 것으로 생각했다. 우리가 받은 메시지도 대다수 이용자들에게 영향을 주지 않았다는 것이다. 하지만 우리 실수였다"고 말했다.
MS는 4일저녁 주의보를 업데이트하고 파일 포맷 차단을 해제하는 다운로드 업데이트 4개에 대한 링크를 포함시켰다. 업데이트는 각각 워드와 엑셀, 파워포인트, 코렐드로 파일 유형에 제공되었다.
다운로드 업데이트는 수동 레지스트리 수정보다 실행하기 쉬운 것으로 입증되어야 하는데, 자세한 내용은 업데이트된 주의보에 들어 있다.
또 MS는 파일 포맷 재차단을 위한 다운로드 업데이트 4개도 마련했다.
샤프너는 "IT 관리자들에게는 이전처럼 [레지스트리] 수정의 사용을 권장한다. 구형 포맷을 자주 사용하는 최종 이용자들은 [다운로드 업데이트]를 이용하면 된다"고 말했다. 샤프너는 이용자가 구형 포맷을 자주 사용하지 않는다면 업데이트를 적용해야 한다고 제안했다.
MS 오피스 그룹 수석 소프트웨어 개발 엔지니어 데이빗 르블랑은 회사의 방향 선회에 자세한 내용을 덧붙였다.
르블랑은 4일 자신의 블로그에 "공격자들은 구형 포맷에 대한 파서를 우선적으로 공격하는 것으로 보이며, 절대 다수가 구형 포맷이 필요 없다면 이것은 보람 없는 위험이다. 그래서 오피스 2007, 나아가 오피스 2003 SP3에 구형 포맷 해제를 기본값으로 정한 것이다. 앞으로 구형 포맷을 사용자 친화적인 포맷으로 구동할 수 있도록 더욱 노력하겠다"고 밝혔다.
마이크로소프트(MS)가 오피스 2003에 관해 발표한 보안 주의보에서 실수를 했다고 인정했다.
작년 12월 게재된 주의보는 이용자들에게 수십 개 파일 포맷의 보안이 부실하기 때문에 오피스 2003 최신 서비스 팩인 서비스팩3(SP3)에서 차단됐다고 알렸다.
주의보는 포맷 차단을 원하지 않는 이용자들을 위한 회피방법을 제공했지만, 프로세스가 복잡하고 잘못 적용할 경우 PC 작동을 멈출 수 있는 레지스트리 변경이 필요했다.
4일(미국시간), MS는 자사가 제공한 정보가 잘못 됐으며, 이용자들의 피해를 과소평가했다고 인정했다. 회사 측에 따르면 현재 보안이 부실한 것은 파일 포맷이 아니라, 파일 유형을 열고 저장하기 위해 오피스 2003이 사용하는 파싱 코드(parsing code)라고 한다.
4일 MS 오피스 세계 제품 관리자 리드 샤프너는 회사가 제공한 주의보가 정확하지 않았으며 수동 레지스트리 수정이 최종 사용자가 실행하기 어려웠다는 점을 ZDNet을 통해 인정했다.
수정을 실행하기 쉽게 만들지 않은 이유를 묻자 샤프너는 "이용자들에게 피해가 없을 것으로 생각했다. 우리가 받은 메시지도 대다수 이용자들에게 영향을 주지 않았다는 것이다. 하지만 우리 실수였다"고 말했다.
MS는 4일저녁 주의보를 업데이트하고 파일 포맷 차단을 해제하는 다운로드 업데이트 4개에 대한 링크를 포함시켰다. 업데이트는 각각 워드와 엑셀, 파워포인트, 코렐드로 파일 유형에 제공되었다.
다운로드 업데이트는 수동 레지스트리 수정보다 실행하기 쉬운 것으로 입증되어야 하는데, 자세한 내용은 업데이트된 주의보에 들어 있다.
또 MS는 파일 포맷 재차단을 위한 다운로드 업데이트 4개도 마련했다.
샤프너는 "IT 관리자들에게는 이전처럼 [레지스트리] 수정의 사용을 권장한다. 구형 포맷을 자주 사용하는 최종 이용자들은 [다운로드 업데이트]를 이용하면 된다"고 말했다. 샤프너는 이용자가 구형 포맷을 자주 사용하지 않는다면 업데이트를 적용해야 한다고 제안했다.
MS 오피스 그룹 수석 소프트웨어 개발 엔지니어 데이빗 르블랑은 회사의 방향 선회에 자세한 내용을 덧붙였다.
르블랑은 4일 자신의 블로그에 "공격자들은 구형 포맷에 대한 파서를 우선적으로 공격하는 것으로 보이며, 절대 다수가 구형 포맷이 필요 없다면 이것은 보람 없는 위험이다. 그래서 오피스 2007, 나아가 오피스 2003 SP3에 구형 포맷 해제를 기본값으로 정한 것이다. 앞으로 구형 포맷을 사용자 친화적인 포맷으로 구동할 수 있도록 더욱 노력하겠다"고 밝혔다.
# by | 2008/01/08 12:52 | WebOffice | 트랙백 | 덧글(0)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]