Unpatched Flaw Affects All Docker Versions, Exploits Ready 모든 Docker 버전에서 공격자가 악용할 경우, 호스트 시스템 내 모든 파일을 읽고 쓸 수 있게 되는 레이스 컨디션(Race Condition) 결함이 발견되었습니다. 이 결함은 CVE-2018-15664로 등록되었으며, PoC 코드 또한 공개된 상태입니다. 해당 결함은 리소스 확인이 완료된 이후 할당된 프로그램이 해당 리소스를 사용하기 전, 리소스의 경로를 수정할 수 있는 기회를 해커들에게 제공합니다. 이는 TOCTOU(Time to Check Time to Use) 버그로 알려져 있습니다. 호스트 파일 액세스 이 취약점은 기본 TOCTOU 공격에 취약한 FollowSymlinkInScope 함수..

국내외 보안동향 2019. 5. 30. 14:28

Beware! Unpatched Safari Browser Hack Lets Attackers Spoof URLs 한 보안 연구원이 공격자들이 윈도우용 마이크로소프트 엣지 웹 브라우저와 iOS용 사파리에서 웹사이트 주소를 스푸핑하도록 허용하는 심각한 취약점을 발견했습니다. 마이크로소프트는 지난달 정기 업데이트를 통해 주소창 URL 스푸핑 취약점을 수정했지만, 사파리는 여전히 패치 되지 않아 애플 사용자들이 피싱 공격에 취약하게 됐습니다. 오늘날의 피싱 공격은 매우 정교하며 점점 더 발견이 어렵기 때문에, 새로 발견 된 이 취약점은 사용자가 웹사이트의 진위성을 확인할 수 있는 기본 지표인 URL과 SSL을 우회할 수 있어 많은 피해가 우려됩니다. 보안 연구원인 Rafay Baloch가 발견한 이 취약점 (..

국내외 보안동향 2018. 9. 13. 16:55