KISA가 공개한 2019년 3월 4주차의 보안 위협

다음은 한국인터넷진흥원(KISA)이 공개한 보안공지, 보고서, 취약점 정보, 최신동향 중에서

2019년 3월 4주차(3월 25일 ~ 3월 31일)에 해당하는 부분만 따로 정리한 것입니다.

 

한국인터넷진흥원(KISA)은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭: 정보통신망법) 제52조에 따라

2009년에 설립된, 정부(정보통신과학기술부) 산하의 공공기관(위탁집행형 준정부기관)입니다.

 

 * 제52조(한국인터넷진흥원) ① 정부는 정보통신망의 고도화(정보통신망의 구축·개선 및 관리에 관한 사항을 제외한다)와 안전한 이용 촉진 및 방송통신과 관련한 국제협력·국외진출 지원을 효율적으로 추진하기 위하여 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다)을 설립한다.

 

---

 

Apple 제품군 보안 업데이트 권고

□ 개요
 o Apple社는 자사 제품에서 발생하는 69개의 취약점을 해결한 보안 업데이트 발표
 o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 Apple 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

□ 설명
 o macOS Sierra, Mojave에서 버퍼오버플로우로 인해 발생하는 임의코드 실행 취약점(CVE-2019-8555) 외 36개
 o iOS에서 버퍼오버플로우로 인해 발생하는 권한상승 취약점(CVE-2019-8511) 외 49개
 o Xcode에서 입력값에 대한 검증이 미흡하여 발생하는 임의코드 실행 취약점(CVE-2018-4461)
 o tvOS에서 버퍼오버플로우로 인해 발생하는 권한상승 취약점(CVE-2019-8542) 외 34개
 o Safari에서 메모리 충돌로 인해 발생하는 임의코드 실행 취약점(CVE-2019-8535) 외 19개
 o iTunes for Windows에서 메모리 충돌로 인해 발생하는 임의코드 실행 취약점(CVE-2019-8536) 외 18개
 o iCloud에서 버퍼오버플로우로 인해 발생하는 권한상승 취약점(CVE-2019-8542) 외 19개

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=34980

---

Cisco IOS XE 소프트웨어 신규 취약점 보안 업데이트 권고

□ 개요
 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지
 o 공격자는 해당 취약점을 이용하여 임의 명령어 실행 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 할 것을 권고

□ 주요 내용
 o Cisco IOS XE 소프트웨어에서 입력값에 대한 검증이 미흡하여 발생하는 파일 업로드 취약점(CVE-2019-1743)
 o Cisco IOS XE 소프트웨어에서 입력값에 대한 검증이 미흡하여 발생하는 임의코드 실행 취약점(CVE-2019-1745)
 o Cisco IOS XE 소프트웨어에서 입력값에 대한 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2019-1754)
 o Cisco IOS XE 소프트웨어에서 입력값에 대한 검증이 미흡하여 발생하는 명령어 삽입 취약점(CVE-2019-1755, 1756)

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=34983

---