Bad Cert Vulnerability Can Bring Down Any Windows Server 구글 보안 전문가가 Windows 8 서버 및 이후 버전의 메인 암호화 라이브러리에서 서비스 거부(DoS)를 유발할 수 있는 취약점을 발견했습니다. 이 문제는 Windows 8 및 Windows 10 버전 1703에 암호화 알고리즘을 구현하는 주요 라이브러리인 "SymCrypt"에 존재합니다. 조작된 인증서로 버그 유발 가능해 SymCrypt를 악용하는 이 취약점은 구글의 취약점 연구가인 Tavis Ormandy가 발견했습니다. 그는 특정 비트 패턴에서 "bcryptprimitives!SymCryptFdefModInvGeneric"를 사용하여 모듈러 역수를 계산할 때 연산이 끝나지 않는다는 것을 발견했습..

국내외 보안동향 2019. 6. 13. 16:28

GnuPG Flaw in Encryption Tools Lets Attackers Spoof Anyone's Signature 한 보안 연구원이 세계에서 가장 널리 사용 되는 이메일 암호화 클라이언트에서 심각한 취약점을 발견했습니다. 이는 OpenPGP 표준을 사용하고, 메시지 암호화 및 디지털 서명을 위해 GnuPG를 사용합니다. 이는 연구원들이 PGP 및 S/Mime 암호화 툴에 존재하는 eFail이라는 결점을 발견한 지 약 1달 후 공개 되었습니다. 공격자들이 이를 악용할 경우 암호화 된 이메일을 순수 텍스트 형태로 사용할 수 있으며, Thunderbird, Apple Mail, Outlook을 포함한 다양한 이메일 프로그램에 영향을 미칩니다. 소프트웨어 개발자인 Marcus Brinkmann은 공..

국내외 보안동향 2018. 6. 19. 13:31

얼마 전, PGP/GPG 와 S/MIME 취약점이 발견되었습니다. 이번에 발견된 두개의 취약점은 EFAIL이라 명명되었습니다. PGP와 S/MIME은 회사, 정부, 사이버 범죄자들 조차 스파잉 할 수 없도록 이메일을 암호화하는데 사용 되는 인기 있는 종단간 암호화 표준입니다. 다행이도 이번에 발견 된 취약점은 이메일 암호 표준 자체에서 발견된 것은 아닙니다. 이 취약점은 해당 기술을 잘못 적용한 일부 이메일 클라이언트 및 플러그인에 존재합니다. 개요 EFAIL 공격은 OpenPGP 및 S / MIME 표준의 취약점을 악용하여 암호화 된 이메일을 일반 텍스트 형태로 나타냅니다. 예를들어, EFAIL 취약점은 외부에서 로드 된 이미지 나 스타일과 같은 HTML 이메일의 액티브 컨텐츠를 악용하여 요청 된 UR..

국내외 보안동향 2018. 5. 15. 15:52