Tumblr Patches A Flaw That Could Have Exposed Users’ Account Info 텀블러(Tumblr)가 금일 웹사이트에 해커들이 사용자 계정의 로그인 크리덴셜 및 기타 개인 정보를 훔치도록 허용하는 보안 결함이 있음을 인정하는 보고서를 발표했습니다. 영향을 받는 정보는 사용자의 이메일 주소, 보호 된(해싱, 솔티드) 계정 패스워드, 사용자가 등록한 위치, 이전에 사용한 이메일 주소들, 마지막 로그인 IP 주소, 모든 계정과 관련 된 블로그 명 등을 포함합니다. 회사에 따르면, 한 보안 연구원이 웹사이트의 데스크탑 버전에서 치명적인 취약점을 발견해 버그 바운티 프로그램을 통해 텀블러의 보안 팀에게 제보한 것으로 나타났습니다. 회사는 해당 연구원의 이름이나 취약점에 대한..

국내외 보안동향 2018. 10. 19. 15:00

LibSSH Flaw Allows Hackers to Take Over Servers Without Password SSH(Secure Shell) 구현 라이브러리인 Libssh에서 4년 된 심각한 취약점이 발견 되었습니다. 이 취약점은 패스워드가 없어도 누구나 인증을 완전히 우회하고 취약한 서버를 제한 없이 제어할 수 있도록 허용합니다. CVE-2018-10933로 등록 된 이 보안 취약점은 2014년에 공개 된 Libssh 버전 0.6에서 추가 된 인증 우회 문제로, 지난 4년 동안 수천 대의 기업 서버를 해커에게 오픈한 꼴이 되었습니다. 하지만 놀라기 전에, OpenSSH나 Github의 libssh 구현은 이 취약점에 영향을 받지 않는다는 사실을 참고하시기 바랍니다. 이 취약점은 Libssh의 코..

국내외 보안동향 2018. 10. 18. 14:00

Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020 구글 크롬, 애플 사파리, 마이크로소프트 엣지, 인터넷 익스플로러, 모질라 파이어폭스를 포함한 모든 메이저 웹 브라우저들이 TLS 1.0 (20년 됨), TLS 1.1 (12년 됨) 통신 암호화 프로토콜에 대한 지원을 곧 종료할 것이라 밝혔습니다. 초기에 SSL(Secure Sockets Layer) 프로토콜로 개발 된 TLS(Transport Layer Security)는 클라이언트와 서버 간의 통신 채널을 보호하고 암호화 하기 위해 사용하는 업데이트 된 암호화 프로토콜입니다. 현재 TLS는 1.0, 1.1, 1.2, 1.3(최신)로 총 4개 버전이 있습니다. 이들 중 구..

국내외 보안동향 2018. 10. 17. 17:40

New Technique Recycles Exploit Chain to Keep Antivirus Silent 사이버 공격자들이 새로운 악성 캠페인에서 일반적인 안티바이러스 제품에 탐지 되지 않으면서 Agent Tesla 인포스틸러를 배포하기 위해 알려진 익스플로잇 체인을 수정한 것으로 나타났습니다. 사이버 범죄자들은 마이크로소프트 워드의 취약점인 CVE-2017-0199와 CVE-2017-11882를 통해 악성 코드 패밀리 다수를 배포하기 위한 인프라를 설정했습니다. 악성코드를 유지시키기 위해 제작 돼 Cisco Talos의 분석가들에 따르면, 이 캠페인은 Agent Tesla, Loki, Gamarue 최소 3개의 페이로드를 드랍합니다. 3개 모두 정보를 훔치며, 이들 중 Loki에만 원격 접근 기능..

국내외 보안동향 2018. 10. 16. 16:46

Microsoft Fix for Windows JET Database Bug Not Perfect, Micropatch Available Windows JET 데이터베이스 엔진이 패치 후에도 여전히 원격 코드 실행 버그에 취약한 것으로 나타났습니다.CVE-2018-8423로 등록 된 이 취약점은 9월 20일 대중에 공개 되었습니다. 마이크로소프트가 제대로 된 업데이트를 다시 발행하기 전 까지, 사용자들은 마이크로패치를 임시로 적용해 문제를 해결할 수 있습니다. 이 임시 패치는 0Patch 플랫폼을 통해 무료로 배포 됩니다. 새로운 임시 인메모리 픽스 공개 돼 Acros Security 측에 따르면, 마이크로소프트의 해결책은 완전하지 않으며 문제를 제거하기 보다는 취약점을 제한할 뿐입니다. CEO인 Mit..

국내외 보안동향 2018. 10. 15. 15:31

Just Answering A Video Call Could Compromise Your WhatsApp Account 왓츠앱에서 영상 통화를 받는 것 만으로 스마트폰을 해킹할 수 있다면? 구글 프로젝트 제로의 보안 연구원인 Natalie Silvanovich가 왓츠앱 메신저에서 해커들이 사용자와 영상 통화를 하는 것만으로 왓츠앱을 원격으로 조정할 수 있도록 허용하는 치명적인 취약점을 발견했습니다. 이 취약점은 메모리 힙 오버플로우 문제로 사용자가 영상 통화 요청을 통해 특별히 제작한 악성 RTP 패킷을 수신할 때 트리거링 됩니다. 이로써 손상 에러가 발생하고 왓츠앱 모바일 앱이 손상 됩니다. 이 취약점은 왓츠앱의 RTP(Real-time Transport Protocol) 구현에 영향을 미치기 때문에 ..

국내외 보안동향 2018. 10. 11. 14:30

Google+ is Shutting Down After a Vulnerability Exposed 500,000 Users' Data 구글이 사용자 수십만 명의 개인 정보를 타사 개발자들에 유출 시킨 대규모 데이터 유출 사고가 발생한 이후 자사의 소셜 미디어 네트워크인 구글 플러스의 서비스를 중단할 예정입니다. 구글에 따르면, 구글 플러스의 People API의 취약점들 중 하나로 인해 타사 개발자들이 사용자 50만명 이상의 정보에 접근할 수 있었습니다. 이 정보에는 계정명, 이메일 주소, 직업, 생년월일, 프로필 사진 및 성별과 관련 된 정보 등이 포함 되어 있었습니다. 구글 플러스의 서버는 API로그를 2주 이상 저장하고 있지 않기 때문에, 구글은 얼마나 많은 사용자들이 이 취약점에 영향을 받았는지는..

국내외 보안동향 2018. 10. 10. 18:00

Git Project Patches Remote Code Execution Vulnerability in Git Git 프로젝트가 어제 Git 명령어 라인 클라이언트, Git 데스크탑, Atom에 존재하는 치명적인 원격 코드 실행 취약점을 수정했다고 발표했습니다. 이 취약점은 악성 저장소가 취약한 기기에서 원격으로 명령을 실행하도록 허용할 수 있었습니다. 이 취약점은 CVE-2018-17456로 등록 되었으며, 이전에 발견 된 옵션 인젝션 취약점인 CVE-2017-1000117과 유사합니다. 이전 취약점과 같이, 악성 저장소는 대시(-)로 시작하는 URL을 포함한 .gitmodules 파일을 생성할 수 있었습니다. 대시를 사용하면, Git이 --recurse-submodules 인수를 사용해 저장소를 복..

국내외 보안동향 2018. 10. 10. 09:54