워드프레스, 2개의 XSS 취약점 잇달아 발견 4월 21일, 워드프레스가 최신 버전인 4.1.2버전을 공개했습니다. 이번 버전에서는 매우 심각한 stored-xss-vulnerability취약점이 수정되었습니다. 그리고 얼마 뒤, 해당 취약점에 대한 세부 내용이 공개되었습니다. 첫 번째 XSS 취약점 상세분석 이 취약점은 보고된지 무려 14개월이 지나서야 패치가 진행되었습니다. 해당 취약점은 MySQL의 특성을 이용한 XSS 취약점입니다. MySQL의 utf8 문자열 집합 중, 한 개의 문자열은 1~3 바이트로 이루어집니다. 만일 한 개의 문자열이 3바이트보다 크다면, MySQL이 해당 문자열을 utf8mb4의 형식으로 저장합니다. 따라서 4바이트의 문자열을 utf8 문자열에 삽입하는 경우, MySQL의..

국내외 보안동향 2015. 4. 29. 16:19

피싱 공격에 설득력을 실어주는 IE 취약점 발견Major Internet Explorer vulnerability could lead to convincing phishing attacks 한 보안연구원이 IE의 심각한 취약점을 발견하였습니다. 해커들이 이 취약점을 악용할 경우, 사용자들이 더욱 당하기 쉬운 피싱 공격을 실행할 수 있습니다. 또한, 이 피싱 공격으로 사용자의 브라우저에 악성코드를 주입할 수 있습니다. David Leo는 Daily Mail 웹사이트에 이러한 취약점을 이용하여 직접 실험한 결과의 링크와 상세 정보를 공개하였습니다. 이 버그는 윈도우 7, 8.1에서 사용되는 IE 11버전에서만 동작하는 XSS 취약점이며, 동일 오리진 정책(Same-Origin Policy)을 우회합니다. L..

국내외 보안동향 2015. 2. 6. 09:40