Razer bug lets you become a Windows 10 admin by plugging in a mouse Razer 마우스나 키보드를 연결하면 Windows 관리자 권한을 얻을 수 있는 Razer Synapse 제로데이 취약점이 Twitter에 공개되었습니다. Razer는 1억 명 이상의 사용자를 보유한 게임용 마우스 및 키보드 제조업체이며, Razer Synapse는 사용자가 하드웨어 장치를 구성하거나 매크로를 설정하고 버튼을 매핑할 수 있게 해주는 소프트웨어입니다. Razer 장치를 Windows 10 또는 Windows 11에 연결하면 운영 체제가 자동으로 다운로드하여 컴퓨터에 Razer Synapse 소프트웨어를 설치합니다. 이번에 발견된 제로데이 취약점은 Razer Synapse..

국내외 보안동향 2021. 8. 23. 11:30

Apple fixes CVE-2021-30807 flaw, the 13th zero-day this year 7월 26일, 애플은 iPhone, iPad, Mac에 영향을 미치는 제로데이 취약점 패치를 공개했습니다. 공개된 제로데이 취약점은 CVE-2021-30807로, IOMobileFramebuffer 커널 확장의 메모리를 손상시킬 수 있습니다. 이는 올해 애플이 수정한 13번째 제로데이 취약점이며, 애플은 커널 권한으로 임의의 코드를 실행하는 악성 앱을 통해 해당 취약점이 악용될 수 있다는 경고를 발표했습니다. 해당 취약점은 화면 프레임 버퍼를 관리하는 IOMobileFramebuffer에 존재하며, 사용자 영역 프레임워크인 IOMobileFramework에 의해 제어됩니다. 취약점이 공개된 후, ..

국내외 보안동향 2021. 7. 28. 11:55

New Windows print spooler zero day exploitable via remote print servers 윈도우 프린트 스풀러에서 또 다른 제로데이 취약점이 발견되었습니다. 이를 악용한 공격자는 공격자가 제어하는 원격 서버와 '대기열 별 파일(Queue-Specific Files)' 기능을 통해 윈도우 기기에서 관리자 권한을 얻어낼 수 있습니다. 지난달, 한 보안 전문가는 의도치 않게 윈도우 프린트 스풀러에 존재하는 제로데이인 PrintNightmare(CVE-2021-34527)를 공개했습니다. 공격자가 이 취약점을 악용할 경우 시스템 내에서 권한을 상승시키거나 원격으로 코드를 실행할 수 있습니다. 마이크로소프트는 이 취약점을 수정하는 보안 업데이트를 공개했지만, 연구원들은 해당..

국내외 보안동향 2021. 7. 19. 09:00

Google fixes sixth Chrome zero-day exploited in the wild this year 구글이 보안 취약점 14개를 수정하는 윈도우, macOS, 리눅스용 크롬 91.0.4472.101을 공개했습니다. 이 중 한 취약점은 실제 공격에 악용되고 있는 제로데이 취약점이며, CVE-2021-30551로 등록되었습니다. 구글 크롬 91.0.4472.101 버전은 현재 전 세계에서 배포가 진행 중이며, 수 일 이내에 모든 사용자에게 배포가 완료될 것으로 보입니다. 구글 크롬 업데이트는 사용자가 다음에 브라우저를 실행할 경우 자동으로 진행되지만, 설정 > 도움말 > Chrome 정보로 이동해 수동으로 업데이트를 진행할 수 있습니다. 2021년, 실제 공격에 크롬 제로데이 취약점 6개..

국내외 보안동향 2021. 6. 10. 09:00

Critical WordPress plugin zero-day under active exploitation 공격자들이 악성코드를 업로드하기 위한 제로데이 취약점을 악용하기 위해 Fancy Product Designer 플러그인을 사용하는 사이트를 스캔하고 있는 것으로 나타났습니다. Fancy Product Designer는 WordPress, WooCommerce, Shopify용 시각적 제품 구성 플러그인으로 고객이 자신의 그래픽 및 콘텐츠를 사용하여 제품을 커스텀할 수 있습니다. 해당 플러그인의 판매 통계에 따르면, Fancy Product Designer는 웹사이트 17,000곳 이상에 판매 및 설치되었습니다. 제로데이 취약점, WooCommerce 사이트에도 영향 미쳐 제로데이는 제작사에서 패치..

국내외 보안동향 2021. 6. 2. 09:00

Update Your Chrome Browser to Patch 2 New In-the-Wild 0-Day Exploits 지난 화요일 구글이 새로운 윈도우, 맥, 리눅스용 크롬 웹브라우저 버전을 공개했습니다. 해당 버전에서는 실제 공격에서 악용이 가능한 취약점 2개를 패치했습니다. 두 가지 취약점 중 하나는 지난주 이루어진 해킹 콘테스트인 Pwn2Own 2021에서 Dataflow의 Bruno Keith와 Niklas Baumstark가 시연한 V8 JavaScript 렌더링 엔진 내 신뢰할 수 없는 입력에 대한 검증 불충분 취약점 (CVE-2021-21220)입니다. 구글은 이 두 취약점을 신속하게 패치했으며, 보안 연구원인 Rajvardhan Agarwal는 지난 주말 크로미움 팀이 오픈소스 컴포넌..

국내외 보안동향 2021. 4. 15. 09:00

Four zero-days in Microsoft Exchange actively exploited in the wild 마이크로소프트가 지원되는 모든 버전의 마이크로소프트 Exchange에 존재하는 제로데이 취약점 4개(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)를 수정하는 긴급 보안 업데이트를 발행했습니다. 이 제로데이 취약점은 실제 공격에 활발히 악용되고 있는 중이었습니다. 마이크로소프트는 중국 정부 지원 APT 그룹 HAFNIUM가 이 취약점을 통해 온-프레미스 Exchange 서버에 접근하여 이메일 계정에 접근하고, 피해자의 환경에 지속적으로 접근하기 위해 백도어를 설치했다고 밝혔습니다. 이 공격체인은 Exchange 서버 포..

국내외 보안동향 2021. 3. 3. 14:33

Google fixes second actively exploited Chrome zero-day bug this year 구글이 3월 2일 공개된 크롬 89.0.4389.72 버전에서 실제 공격에 적극적으로 악용되는 제로데이 취약점을 수정했습니다. 새로운 버전은 윈도우, 맥, 리눅스 사용자용 Stable 데스크톱 채널에 공개되었습니다. 구글은 크롬 89.0.4389.72 관련 공지에서 아래와 같이 밝혔습니다. “구글은 실제 공격에 CVE-2021-21166에 대한 익스플로잇이 존재한다는 제보를 받았습니다.” 사용자는 설정 > 도움말 > Chrome 정보에서 크롬 89 버전으로 업데이트 할 수 있습니다. 또한 구글 크롬 웹 브라우저는 자동으로 새 업데이트가 있는지 확인 후, 있을 경우 이를 설치할 것입니..

국내외 보안동향 2021. 3. 3. 09:12