본문 바로가기

Security_News/해외보안소식

오라클, 270개 취약점 보안 업데이트 오라클은 2017년 최초의 분기 보안 업데이트에서 270개의 취약점을 패치한다. 취약점 대부분은 원격에서 공격이 가능하다. 오라클의 이비지니스 스위트가 121개 취약점을 패치하여 가장 많고, 그 다음은 오라클 금융서비스가 37개이며, 퓨전 미들웨어가 18개의 취약점을 패치한다. http://www.zdnet.com/article/oracles-monster-security-update-270-fixes-and-over-100-remotely-exploitable-flaws/ http://www.v3.co.uk/v3-uk/news/3002822/oracle-issues-a-whopping-270-security-fixes http://computerworld.com/article/3158694/securi.. 더보기
슈퍼셀 공식 커뮤니티 해킹당해 : 100만개 계정 노출돼 클래시오브클랜 제작사 슈퍼셀이 1월 18일 슈퍼셀 커뮤니티 포럼 계정이 해킹당했다고 밝혔다. 서드파티 소스는 100만개의 계정이 위험에 노출되었다고 하였다. 슈퍼셀은 공식성명에서 2016년 9월에 벌진 일이고 게임 계정에는 영향이 없다고 밝혔다. (현재 조사중이며 취약점을 통해 포럼 사용자 정보-이메일, 암호화된 패스워드 등-가 해커한테 노출되었으며 조사결과 작년 9월 문제가 발생했음을 발견했고, 현재는 수정되었다고 하였다.) 또한 암호를 최대한 빨리 변경하도록 요청했다. * 출처 : http://venturebeat.com/2017/01/18/clash-of-clans-maker-supercell-discloses-a-million-user-accounts-were-hacked/ * 공식 : https.. 더보기
아이폰,아이패드에서 문자를 받기만해도 크래쉬되는 새버그 발생. 아이폰 아이패드에서 문자를 받기만해도 뻗는 심각한 증상이 발생, 특정 문자와 이모티콘이 조합된 문자를 받으면 발생하며 해결방법은 지금으로써는 없다. 현재 이 현상에 관하여 애플은 언급을 하지 않고 있다. * 출처 : http://thehackernews.com/2017/01/crash-iphone-emoji.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29 더보기
윈도10 기념 업데이트, 제로데이 공격에서 PC 보호 윈도 10 일 주년 기념 업데이트에 있는 익스플로잇 완화 기능을 시험한 마이크로소프트의 윈도 디펜더 보안 팀 연구원들은 제로 데이 취약점 두 개를 공격하는 것을 방어할 수 있었다고 밝혔다. 이 취약점은 마이크로소프트 2016년 11월 보안 업데이트에서 패치되었다. 연구원들은 회사가 2016년 11월에 패치하였던 취약점에 대해 윈도 10 및 에지의 앱컨테이너 샌드박스 기능 및 강력한 검증을 시험하였다. 연구원들은 이 기능을 특정 익스플로잇 공격 기법 뿐만 아니라, 익스플로잇 방법을 중성화할 수 있다고 밝혔다. https://www.wired.com/2015/08/windows-10-security-settings-need-know/ http://www.zdnet.com/article/windows-10-s.. 더보기
내장된 VB스크립트를 이용한 피싱 공격 정밀 표적 피싱 공격에 VBS를 이용해서 키입력 값 로깅 소프트웨어를 컴퓨터에 주입하였다. 이 공격은 미국 금융회사를 대상으로 사용되었다. 피싱 이메일 메시지에는 VBS 형식의 임베드 개체가 있는 마이크로소프트 워드 문서가 첨부되어 있었다. http://www.zdnet.com/article/this-phishing-email-uses-an-unexpected-trick-to-infect-pcs-with-keylogger-malware/ 더보기
와츠앱 : 백도어가 아니라, 타협일 뿐 이라는소식 와츠앱에 백도어가 있다는 가디언의 보도에 대해, 와츠앱이 즉각적으로 반박 성명을 냈습니다. 와츠앱은 "우리는 정부에게 백도어를 주지 않았으며, 정부의 어떤 요청에도 맞설 것이다"고 말했습니다. 암호화 키를 바꿔도 메시지를 그대로 전송하는 것에 대해서는 "편의성을 위한 타협"이라고 설명했습니다. 가령 Signal의 사용자들은 암호화 키가 바뀌면 전송되지 않는 강력한 보안에 만족하겠지만, 와츠앱은 전세계적으로 10억명 이상이 사용하고 있으며, 이들 대부분은 와츠앱의 보안 과정에 대해 잘 알지 못한다는 것입니다. 특정 케이스에 대한 보안성을 희생하는 대신 많은 사용자들에게 더 부드러운 사용 경험을 제공하기 위해 이런 선택을 했다는 것이 와츠앱의 설명입니다. http://www.theverge.com/2017/.. 더보기
베트남 호치민市, 전자정부 서비스 확대계획 발표 개요 베트남 호치민 市 정부는 올해 전자 정부 서비스를 확대하여 공공 서비스의 40-50 %를 온라인으로 목표로 하고 도시의 모든 주정부 기관은 시민들의 의견을 수렴 할 수 있는 시스템을 구축 할 것이라고 발표 주요내용‘17년 전자정부 서비스 확대를 통해 대민서비스 지연을 줄이고 시민참여를 확대하며, 전자서명 도입 가속화를 목표로 함 모든 시 정부 청사는 지연된 신청 파일 수를 50 % 줄여야하며 시 정보 통신부는 전자 서명을 사용하고 모든 시 정부 청사의 웹 사이트를 연결할 계획 - 호치민시는 1,700 개의 온라인 레벨 2 공공 서비스, 426 레벨 3 서비스 및 46 레벨 4 서비스를 제공 중이며 향후 모든 온라인 서비스가 행정 절차에 관한 필요한 정보를 제공할 수 있도록 지원할 예정 ※ 레벨 1 .. 더보기
SwiftMailer, PHPMailer, ZendMail에서 RCE 취약점 발견 개요 이메일 전송에 사용되는 가장 유명한 오픈 PHP 라이브러리에서 취약점 발견 주요내용 폴란드의 보안 연구원 Legal Hackers 소속 Dawid Golunski는 메일링 라이브러리인 PHPMailer, SwiftMailer, ZendMail에서 임의 코드 실행 취약점을 발견 ​오픈 소스 PHP 라이브러리인 PHPMailer에서 원격의 공격자들이 웹 서버 컨텍스트에서 임의의 코드를 실행하고, 웹 어플리케이션을 해킹할 수 있도록 하는 취약점 발견(CVE-2016-10033) - 해당 취약점은 PHPMailer 5.2.18 버전에서 패치되었으나, 패치된 버전에서 임의 코드 실행 취약점이 다시 발견(CVE-2016-10045) - PHPMailer는 워드프레스, 드루팔, 1CRM, SugarCRM, Yi.. 더보기
ISC, BIND 취약점 패치 발표 인터넷 시스템 컨소시움(ISC)는 BIND에 있는 모두 서비스 거부와 관련된 취약점 세 개에 대한 패치를 발표하였다. 취약점 세 개 모두는 리커시브 모드에서 운영되는 BIND 기반의 DNS 서버에서 존재한다. http://www.theregister.co.uk/2017/01/13/isc_fixes_bind_denialofservice_vuls/ 더보기
스피어피싱과 연루된 이탈리아인 2명 구속 이탈리아 경찰은 기업가, 은행임원, 추기경 및 전직 총리의 시스템에 접근할 수 있는 아이피라미드 트로이목마 프로그램을 사용한 스피어 피싱 공격 캠페인과 연루된 두 명을 구속하였다. 공격자들은 악성코드를 이용해서 87기가 바이트 이상의 데이터를 훔쳤다. 이번 조사에서 공격의 목적이 정치적인 목적보다는 투자 목적의 정보를 수집을 위한 것으로 보인다. 훔친 데이터는 미국 서버에 저장되었다. FBI는 서버를 압수하였으며, 이탈리아로 보낼 예정이다. http://www.reuters.com/article/us-italy-cybercrime-idUSKBN14U1K2?il=0 http://www.theregister.co.uk/2017/01/12/eyepyramid/ http://www.scmagazine.com/b.. 더보기

티스토리툴바