Security_News/해외보안소식 썸네일형 리스트형 Researchers Get $10,000 for Hacking Google Server with Malicious XML A critical vulnerability has been uncovered in Google that could allow an attacker to access the internal files of Google’s production servers. Sounds ridiculous but has been proven by the security researchers from Detectify. The vulnerability resides in the Toolbar Button Gallery (as shown). The team of researchers found a loophole after they noticed that Google Toolbar Button Gallery allows us.. 더보기 하트 블리드 취약점 패치 발표 하트블리드 취약점 패치 발표 OpenSSL은 패스워드, 소스코드 및 암호키 보안에 위협을 주고 있는 전송 보안 계층 포로토콜 "하트비트" 확장 라이브러리에 있는 심각한 취약점에 대한 패치를 발표하였다. 이 확장 기능은 클라이언트가 서버에게 연결되었는 지 확인하기 요청하는 것이다. OpenSSL 프로토콜은 인터넷에서 광범위한게 사용되고 있다. http://www.darkreading.com/vulnerabilities---threats/emergency-ssl-tls-patching-under-way/d/d-id/1204282? SANS 인터넷스톰센터 : OpenSSL 벤더 패치 목록 http://www.darkreading.com/vulnerabilities---threats/emergency-ssl-t.. 더보기 openSSL 하트블리드 클라이언트 라우터에도 영향 OpenSSL 하트블리드, 클라이언트 라우터에도 영향 하트블리드 취약점이 웹사이트에 현재 조명을 받고 있지만, SANS연구소는 PC, 태블릿 등에서 운영되는 소프트웨어도 취약하다고 밝혔다. 즉 클라이언트측에 취약한 OpenSSL을 설치하면 사용자 컴퓨터 등에서 패스워드 및 암호키를 추출하기 위해 악성 서버에 의해서 공격당할 수 있다고 지적하였다. http://www.theregister.co.uk/2014/04/10/many_clientside_vulns_in_heartbleed_says_sans/ 하트블리드 취약점은 라우터에서 영향을 미친다. http://www.bloomberg.com/news/2014-04-10/heartbleed-found-in-cisco-juniper-networking-prod.. 더보기 정부기관 OpenSSL 하트블리드 긴급조치 정부기관, OpenSSL 하트블리드 긴급 조치 미국 및 캐나다 정부 기관은 하트블리드 OpenSSl 취약점 위험으로부터 사람들을 보호하기 위한 조치를 취하고 있다. 캐나다 국세청은 임시로 온라인 사이트 접속을 차단하였으며, 시민들이 온라인으로 세금을 납부할 수 없다. 미국 국세청은 하트블리드가 국세청 시스템에 영향이 없음에 따라 온라인 업무를 계속하고 있다. 미국 연방 예금보험공사(FDIC)는 금융기관에 시스템 보호하도록 경고하는 언론기사를 발표하였다. 가트너 사기분석 전문가 아이바 리탄은 이 취약점은 웹사이트 이상으로 영향을 미친다고 지적하였다 : "SSL 프로토콜은 대부분의 신뢰 M2M 통신에서 사용중이다. 이 취약점은 라우터, 스위치, 운영체제 및 다른 애플리케이션에도 영향을 미치게 된다." htt.. 더보기 미 기업간 위협정보 공유는 반독점법 위반하지 않았다 美, 기업간 위협정보 공유는 반독점법 위반하지 않아 미국 정부는 회사들이 공동으로 해킹에 대응할 수 있도록 추진한다. 미국 법무부(DOJ)와 연방거래위원회(FTC)는 사이버 위협 정보를 상호 공유할 수 있도록 하는 합동 정책문을 발표하였으며, 이러한 활동은 반독점을 위반하지 않는다고 밝혔다. 이번 규정은 회사들이 사고보고서, 악성코드 및 공격자의 IP 주소를 찾을 수 있는 디지털 핑거프린트를 공유하는 것을 허용한다. 합동정책문: http://www.justice.gov/atr/public/guidelines/305027.pdf http://www.nextgov.com/cybersecurity/2014/04/us-promises-not-sue-companies-discussing-hacks/82321/?o.. 더보기 킬 체인 도입 DHS, 자체 보안운영센터 개선 - 킬 체인 도입 미국 국토안보부(DHS)는 자체 보안운영센터(SOC)를 개선하기로 하였다. DHS CISO 제프 아이젠스미스는 침입방어 체인 또는 "킬 체인" 메커니즘을 사용하는 등의 SOC 운영에 대한 아이디어를 요청하였다. 킬 체인 방법론은 침입자의 공격 계획을 예측하고, 최종 해킹하기 위해 취해야 할 단계로 세분화한다. 그리고 공격자의 계획을 차단하기 위해 각각의 단계에 대해서 대응책을 만든다. http://www.nextgov.com/cio-briefing/2014/04/dhs-prepares-overhaul-internal-security-operations/81937/?oref=ng-channelriver 더보기 Easter Holiday Phishing Scams and Malware Campaigns As the Easter holiday approaches, US-CERT reminds users to stay aware of holiday scams and cyber campaigns, which may include:shipping notifications that may be phishing scams or may contain malwareelectronic greeting cards that may contain malwarerequests for charitable contributions that may be phishing scams and may originate from illegitimate sources claiming to be charitiesUS-CERT encourage.. 더보기 EU 데이터 보유법 "무효"라고 판결 유럽 사법부는 2006년에 제정된 EU의 데이터 보유 법이 "무효"하다고 판결하였다. 유럽 사법부는 이 법률은 2개의 기본적인 권리를 위반하였다고 밝혔다. 2개의 기본권리는 사생활 존중 및 개인정보 보호이다. 이번 판결에 영국정부는 통신 데이터를 보유하는 것은 정부기관이 범죄를 조사하고 국가 안보를 보장하는 가장 기본적이라고 반발하였다.http://www.bbc.com/news/world-europe-26935096 http://www.irishtimes.com/business/sectors/technology/european-court-declares-data-retention-directive-invalid-1.1754150 더보기 英,和 등 유료로 윈도XP 지원연장 마이크로소프트는 4월 8일(화) 이후에는 더 이상 윈도 XP 보안 업데이트를 지원하지 않는다. 영국, 네덜란드를 포함하여 일부 국가의 정부에서는 윈도 XP를 지원받도록 마이크로소프트와 자체 협약을 맺었다. 영국 정부는 1년간 추가 지원 조건으로 MS에 약 555만 파운드(원화 약 95억원)을 지불하였다. 네덜란드 정부는 2015년 1월까지 지원을 받는 조건으로 지불하였다.http://www.bbc.com/news/technology-26884167 http://www.computerworld.com/s/article/9247504/Windows_XP_The_end_is_nigh?pageNumber=1 http://www.pcworld.com/article/2139929/windows-xp-support-.. 더보기 XSS 취약점 이용하여 DDoS 공격 XSS 취약점 이용하여 DDoS 공격 지난주 공격자들이 유명한 웹사이트의 크로스 사이트 스크립팅(XSS) 취약점을 이용하여 사이트 방문자의 브라우저를 하이제킹하여 디도스 공격에 사용하였다. 공격자들은 자신들이 만든 가짜 계정의 이미지 아이콘에 악성 자바스크립트를 포함하였다. 이러한 이미지가 보일때마다 자바스크립트는 숨겨진 아이프레임을 삽입하여 공격자들이 사용자 브라우저를 하이제킹하고, 이 브라우저가 디도스 공격대상에 GET 요청하도록 하였다.http://arstechnica.com/security/2014/04/how-a-website-flaw-turned-22000-visitors-into-a-botnet-of-ddos-zombies/ http://www.computerworld.com/s/articl.. 더보기 이전 1 ··· 165 166 167 168 169 170 171 ··· 186 다음