MS, 사기성 디지털 인증서를 이용한 공격 위험성 공지 및 패치 발표

[보안뉴스 호애진] 마이크로소프트는 자사 제품에 포함된 루트 인증기관인 CA(TURKTRUST Inc.)에서 발급된 1개의 사기성 디지털 인증서를 이용한 공격 위험성을 공지하고, 이에 대한 패치를 발표했다.

이는 터크트러스트(TURKTRUST Inc.)가 관리하는 보조 인증 기관 두 곳(EGO.GOV.TR 및 e-islem.kktcmerkezbankasi.org) 중 EGO.GOV.TR가 구글(google.com)을 대상으로 한 사기성 디지털 인증서를 발급하는 데 사용돼 문제가 불거졌다.

 

이 사기성 인증서는 콘텐츠 스푸핑, 피싱 공격, MITM(Man-in-the-Middle) 공격에 사용될 수 있다. 영향을 받는 소프트웨어는 윈도우 XP, 윈도우 Vista, 윈도우 7, 윈도우 8, 윈도우 서버 2003, 윈도우 서버 2008, 윈도우 서버 2012 등이다.

자동 업데이트를 사용하는 사용자는 KB2798897 업데이트가 자동으로 다운로드되고 설치돼 따로 조치를 취할 필요가 없지만, 관리자 및 기업 설치의 경우나 KB2798897 업데이트를 수동으로 설치하려는 최종 사용자의 경우 업데이트를 즉시 적용해야 한다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>