Security_News/해외보안소식 썸네일형 리스트형 어도비 및 마이크로소프트 보안 업데이트 어도비社는 윈도용 플래쉬 플레이어, 콜드퓨전 및 로보헬프의 보안문제를 해결하기 위한 업데이트를 발표하였다. 윈도, 맥, 리눅스 및 크롬 OS에서 사용할 수 있는 플래시 업데이트는 두 가지 중요한 메모리 손상 문제를 해결한다. 콜드퓨전 업데이트에는 네 가지 취약점에 대한 패치가 포함되어 있으며 로보헬프 업데이트에는 두 가지 취약점이 수정되었다. 또한 9월 12일 화요일, 마이크로소프트社는 윈도, 오피스, .NET 프레임워크, 플래쉬, 인터넷 익스플로러 및 에지 등 제품에서 80가지 이상의 보안문제에 대한 업데이트를 발표하였다. http://threatpost.com/adobe-fixes-eight-vulnerabilities-in-flash-robohelp-flash-player/127944/http://.. 더보기 미국 유권자 60만명의 정보가 유출 보안 연구원들은 잘못 구성된 데이터베이스로 인해 다시 한번 인터넷을 통해 약 60만명 이상의 미국 유권자들의 개인정보가 유출된것으로 확인했다. 유출된 데이터는 CouchDB 데이터베이스에 존재하는 약 60만명의 알레스카 유권자들의 이름, 주소, 생년월일, 투표 선호도, 소득등의 정보이다. 이 사건은 최근 몇달 동안의 DB와 관련된 데이터 유출 사건중 가장 최근에 발발한 것이다. 데이터베이스 관리자들은 해커들이 다시 공격할 것을 대비하여 데이터베이스를 다시 한번 검토할 예정[https://www.infosecurity-magazine.com/news/northern-exposure-600k-alaskan/] 더보기 해커그룹 OurMine, Vevo 뮤직 비디오 서비스 해킹 유명 인터넷 웹 계정을 해킹해서 그들의 광고 서비스를 홍보하는 OurMine 해커 그룹이 이번에는 유명 뮤직 비디오 서비스 Vevo를 해킹했다. Vevo는 Sony Music Entertainment, Universal Music Group, Abu Dhabi Media, Warner Music Group, AlphaBet Inc. 의 여러 벤처사가 공동으로 하고 있는 서비스이며, 이 해커그룹은 Vevo 서버에 침입하여 약 3.12테라바이트의 데이터를 해킹한것으로 밝혀졌다. 이 그룹이 해킹한 정보는 Vevo 내부 오피스 문서, 여러 비디오 그리고 홍보를 위한 자료이다. 현재 왜 이 그룹이 Vevo를 해킹하였는지, 어떻게 해킹했는지 등의 원인은 밝혀지지 않았지만, 이들이 Vevo를 해킹하기 전 웹 사이트를.. 더보기 美 연방거래위원회, 기업을 위한 데이터 보안 가이드라인 업데이트 개요미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표 주요내용 미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표(1) 보안과 함께 시작 : 모든 부서의 의사 결정 과정에 정보보호 고려사항을 포함되도록 비즈니스 프로세스를 구축하여야 함. (연방거래위원회는 개인 데이터 수집 및 보존을 최소화 할 것을 권장)(2) 제어 정보 접근 : “Need to Know“ 기반으로 민감한 데이터에 대한 직원 및 관리자의 접근을 제한.(3) 인증 : 암호의 복잡도를 유지하고 고유암호 사용하여야 되면, 안전하게 암호를 저장하여야.. 더보기 가짜 청구서로 위장한 Dridex 변종 트로이목마 유포 주의 개요 Trustwave, 자바스크립트 파일을 이용해 악성 실행파일 다운로드 후 사용자의 정보 탈취하는 피싱 이메일 확인 주요내용 공격자는 Xero 기업으로 위장하여 전세계적으로 피싱 이메일 발송* Xero : 중소기업을 위한 클라우드 기반 회계 소프트웨어 개발사 발신자는 xero.com이 아닌 xeronet.org로 해당 도메인은 공격이 수행되는 날 중국에서 등록된 것으로 확인됨 이메일에 포함된 링크는 최종적으로 악성 자바스크립트(Xero Invoice.js)를 실행하여 Y739Ayh.exe를 다운로드하며, 이는 Dridex 트로이목마의 변종으로 확인됨* Dridex : Chrome, Internet Explorer 같은 웹브라우저를 모니터링하고 은행 및 개인정보를 탈취하는 악성코드 (기능) 시스템 정보.. 더보기 최근 몽고DB 공격원인은 관리자계정 취약점 몽고DB의 상품보안 선임이사에 따르면, 관리자 계정의 패스워드가 설정되지 않아서에 최근 몽고DB 데이터베이스를 대상으로 한 랜섬웨어 공격이 성공한 것으로 나타났다. 몽고DB는 다가올 몽고DB 3.6.0 발표시 보안정책을 강화할 계획이다. http://www.bleepingcomputer.com/news/security/admin-accounts-with-no-passwords-at-the-heart-of-recent-mongodb-ransom-attacks/ 더보기 Adobe Flash Plyaer 취약점 패치 Adobe는 월간 보안 업데이트를 발표했으며 이 달에는 Adobe Flash Player, Adobe ColdFusion, Adobe RoboHelp 등 온라인 또는 오프라인 문서 작성에 사용되는 도움말 작성 도구(HAT)의 8가지 취약점을 패치했다. Adobe Flash Player의 업데이트는 코드를 실행할 수 있는 두 가지 중요한 메모리 손상 취약점을 해결한다. 최신 Adobe Flash Player 버전 번호는 현재 27.0.0.130 이다. 또한, ColdFusion 버전 11 및 2016 릴리스에 대한 보안 업데이트는 크로스 사이트 스크립팅 취약점 (CVE-2017-11285), XML 파싱 취약점 (CVE-2017-11286)을 해결한다. 최신 Adobe ColdFusion 버전 번호는 이제.. 더보기 Microsoft 9월 패치, 제로데이 포함 82개 수정 얼마 전 MS는 2017년 9월 패치를 발표했으며 이번 달 OS 제조업체는 82개의 보안 버그를 수정했다. 패치 중에는 제로 데이 취약점 1개와 세부 정보가 공개되었지만 아직 공격에서 악용되지 않은 세 가지 버그도 포함되어 있다. 제로 데이는 CVE-2017-8759의 식별자로 추적되며 .NET Framework에 영향을 주는 원격 코드 실행 취약점이다. ".NET 프레임 워크를 사용하여 소프트웨어에 이 취약점을 성공적으로 악용한 침입자는 영향을 받는 시스템을 제어할 수 있다. 공격자가 프로그램을 설치하고 데이터를 변경 또는 삭제하거나 사용자 권한으로 새 계정을 만들 수 있다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있다. "고 M.. 더보기 Hikvision IP Cameras 취약점 소식 Access control bypass in Hikvision IP Cameras---------------많은 Hikvision IP 카메라에는 구성된 모든 사용자 계정의 인증되지 않은 가장을 허용하는 백도어가 있습니다. 이 취약점은 적어도 2014 년 이후 Hikvision 제품에 존재합니다. Hikvision 브랜드 장치 외에도, 다양한 브랜드 이름으로 판매되는 많은 흰색 라벨 카메라 제품에 영향을 미칩니다. 수십만의 취약 계층장치는 게시 할 때 여전히 인터넷에 노출되어 있습니다. 전체 관리 액세스 권한을 얻는 것 외에도,취약점은 모든 구성된 사용자에 대해 일반 텍스트 암호를 검색하는 데 사용될 수 있습니다. 위험 및 완화 :--------------------이 취약점은 심각한 위험을 초래합니다... 더보기 은행 계좌를 터는 Xafecopy 안드로이드 멀웨어 Xafecopy라 불리는 새로운 안드로이드 멀웨어로 인해 많은 은행 계좌가 도난당하고 있다.카스퍼스키 연구실에 따르면, 대부분의 희생자는 인도에서 발생하였으며 (37.%), 47개국의 4,800명의 이용자가 해당 멀웨어에 감염된것으로 확인되어진다. 그 밖의 지역으로는 멕시코, 터키, 러시아에 퍼져있다. 카스퍼스키 연구실의 연구자들은 2017년 2분기부터 해당 트로잔이 평소보다 자주 등장하기 시작했다고 전하고 있다. 이들은 Xafekopy는 겉으로 매우 유요한 애플리케이션으로 보이며, 스마트폰 배터리 최적화 용도로 사용되는 것으로 표시되어진다. 연구원인 John Snow 연구원은 해당 멀웨어가 존재하는 것은 스마트폰에 존재하는 계좌정보로부터 돈이 모두 인출된 이후에 발견할 것이라며, 사용자들의 경각심을 불.. 더보기 이전 1 ··· 7 8 9 10 11 12 13 ··· 186 다음