앞으로 바로 적용될 사항이기에 올려드립니다.

-------------------------------------------------------------------------------
MS의 IE6.0 액티브X 기능변경에 따른 홈페이지 수정 필요


발 신 자: 국가사이버안전센터
경고분류: 보안권고문



■ 개 요

o MS사가 인터넷 익스플로러의 기능을 일부 수정하는 패치를 3.1 발표하고 4.12부터는
강제로 자동적용하게 되어 있어액티브X가 사용된 웹사이트의 정상적인 서비스를
위해서는 홈페이지의 일부 수정이 필요합니다.

■ 주요 내용

o MS사는 이올라스(Eolas)사와의 특허 침해 소송에서 패소함에 따라 액티브X 기술의 사용을 제한하도록 IE의 설계를 부분 변경하기로 결정

o 이번 수정패치의 영향을 받는 대상은 눈에 보이는 UI를 가지며 사용자가 마우스나 키보드 입력을 통해 이벤트를 처리하는 상호작용 컨트롤에만 적용
- 상호작용 컨트롤의 예는 미디어플레이어, 애플의 퀵타임 플레이어, 매크로미디어의 플래시 등이 있음
- 특히, 국내 대부분의 사이트가 가지고 있는 메뉴 등의 네비게이션 UI, 광고, 플래시 안내문구 등이 비활성화되는 문제가 있어 마우스를 올렸을때 팝업 형태로 메뉴를 보여주게 작성해놓은 경우 비활성화된 상태에서는 메뉴가 보이지 않음
- F5키를 눌러서 페이지를 ‘새로고침’으로 하는 경우에도 컨트롤은 다시 비활성화가 되며 하나의 페이지 안에 여러 개의 컨트롤이 있는 경우에도 각각을 활성화해야 함

o IE 기능변경 패치가 적용됨에 따라 웹페이지에 접속하는 사용자들은 웹페이지에서 ‘object', 'applet', 'embed' 태그에 의해 로드되는 MS의 액티브X 컨트롤과 상호작용할 수 없음
즉 사용자가 이를 클릭해서 명시적으로 활성화(Activate)하기 전에는 사용자가 직접 상호작용하는 것이 불가능
- 웹페이지 내에서 ‘object', 'applet', 'embed' 을 사용하여 여러 컨트롤들을 로드하는 경우 각 사용자의 상호작용이 필요한 컨트롤들은 개별적으로 사용자가 활성화
- 컨트롤이 비활성화되면 Danamic HTML(DHTML) 이벤트들은 차단되며 WM_CREATE, WM_DESTROY, WM_MOVE, WM_PAINT, WM_QUIT 와 같이 모양과 시스템 안정성에 중요한 영향을 미치는 윈도우 메시지만 처리
- 상호작용 컨트롤을 활성화 하려면 마우스로 클릭하거나 탭 키를 사용하여 해당 컨트롤에 포커스를 맞춘 후 ‘스페이스바’ 또는 ‘엔터’ 키를 눌러 수동으로 활성화

o 그러나, 비활성화된 컨트롤은 사용자 입력에 대해 응답하지 않지만 상호작용과 관련 없는 동작은 실행 가능
- 예를 들어, 음악 파일을 연주하기 위해 미디어 플레이어를 사용하는 웹 페이지를 열면
별도의 사용자의 추가 동작 없이 예전과 같이 음악을 들을 수 있지만, 윈도우 미디어
플레이 컨트롤의 사용자 인터페이스가 활성화될 때까지 상호작용을 할 수 없어 중단,
미리듣기 등을 위해서는 사용자가 ‘스페이스바’ 또는 ‘엔터’ 키를 눌러 수동으로 활성



■ 수정 방법

o 외부 스크립트에 의한 상호작용 ActiveX 컨트롤 로드
- 상호작용 ActiveX 컨트롤이 사용자 입력에 즉시 응답하도록 웹 페이지를 생성하려면 외부 스크립트 파일에서 Microsoft JScript를 사용하여 컨트롤을 로드 합니다.
1) 다음 예제는 동적으로 컨트롤을 로드하기 위해 document.write를 사용합니다.
// HTML File
<html>
<body leftmargin=0 topmargin=0 scroll=no>
<script src="Embed.js"></script>
</body>
</html>


// embed.js
document.write('<embed src="examplecontrol">')


2) 외부 스크립트 파일에서 해당 요소의 outerHTML 속성을 수정하여 동적으로 컨트롤을 로드
// HTML File
<html>
<body>
<script src="embedControlOuterHTML.js"></script>
</body>
</html>


// embedControlOuterHTML.js
embedControlLocation.outerHTML =
'<embed src="examplecontrol">';


* 자세한 수정방법은 센터 홈페이지에 게시된 ‘MS사의 수정가이드’를 참조


■ 참고 정보

o 웹 페이지를 수정하고 테스트하기 위해서 변경된 IE의 최신 업데이트 다운로드
- 한국어 테스트 버전:
http://download.microsoft.com/download/8/3/d/83dcd69f-739d-4297-8258-8c5218e09fff/WindowsXP-KB912945-x86-KOR.exe
- 영어 테스트 버전:
http://download.microsoft.com/download/b/f/6/bf65fcfa-fe0f-490e-b84e-3de9e77c9f7c/WindowsXP-KB912945-x86-ENU.exe
* 이 파일은 Windows XP SP2에서 실행하는 Internet Explorer 6에 설치하실 수 있으며,
개발자를 위한 pre-release 버전으로서 테스트 목적으로만 제공됩니다.

o 이번 변경 내용을 설명하는 기술 자료 문서 공지
- Activating ActiveX Controls(영문): http://msdn.microsoft.com/workshop/author/dhtml/overview/activating_activex.asp
- Internet Explorer ActiveX update(한글):
http://support.microsoft.com/kb/912945