- 설명

Microsoft사에서 발표한 Microsoft .NET Framework 패치입니다.

마이크로소프트사에서 2016년 2월 10일자로 제공해주는 보안 패치로 .NET Framework 취약점으로 인한 서비스 거부 문제점을 해결해줍니다.

이 보안 업데이트는 Microsoft .NET Framework의 취약성을 해결합니다. 이 중에서 보다 심각한 취약성은 공격자가 특수 제작된 XSLT를 클라이언트 쪽 XML 웹 파트에 삽입하는 경우 서비스 거부를 일으키고, 서버가 재귀적으로 XSLT 변환을 컴파일하게 만들 수 있습니다.

이 보안 업데이트의 심각도는 영향받는 Microsoft Windows 릴리스의 Microsoft .NET Framework 2.0 서비스 팩 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 및 Microsoft .NET Framework 4.6.1에 대해 중요입니다.

이 보안 업데이트는 Microsoft WinForms가 디코더 결과의 유효성을 검사하는 방식을 수정하고 .NET Framework가 XSLT(Extensible Stylesheet Language Transformations)를 처리하는 방식을 수정하여 취약성을 해결합니다.


* .NET Framework 스택 오버플로 서비스 거부 취약성
.NET Framework가 특정 XSLT(Extensible Stylesheet Language Transformations)를 제대로 처리하지 못하는 경우 서비스 거부 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 서비스 거부 조건이 발생하기에 충분한 정도로 서버 성능을 크게 저하시킬 수 있습니다.
이 취약성을 악용하기 위해 공격자는 특수 제작된 XSLT를 클라이언트 쪽 XML 웹 파트에 삽입하고, 서버가 재귀적으로 XSLT 변환을 컴파일하게 만들 수 있습니다. 이로 인해 서비스 거부 공격 및 서버 가용성 저하가 일어날 수 있습니다. 이 보안 업데이트는 .NET Framework가 XSLT를 처리하는 방식을 수정하여 취약성을 해결합니다.