la Nube | 라 누베

Another data-leaking Spectre CPU flaw among Intel's dirty dozen of security bug alerts today https://www.theregister.co.uk/2018/07/10/intel_security_spectre_advisories/(입력 : 10 Jul 2018 at 17:00) -- Another data-leaking Spectre CPU flaw among Intel's dirty dozen of security bug alerts today 인텔 CPU에 영향을 미치는 새로운 스펙터 취약점의 변종으로, CVE-2018-3693으로 명명되었습니다.아울러 스펙터 변종 1.1이라는 이름이 붙여졌습니다. 한가지 다행스러운 점은 스펙터 ..

보안뉴스 : http://www.boannews.com/media/view.asp?idx=70381(기사 입력 : 2018-06-15 12:46) -- 레이지 FP 상태 저장 취약점 CVE-2018-3665 인텔이 또 다른 부채널 취약점을 공개했다. 멜트다운(Meltdown)이나 스펙터(Spectre)와 유사한 것으로, 현대의 마이크로프로세서 대다수가 이 취약점의 영향권 아래 있다고 한다. 취약점 익스플로잇에 성공할 경우 메모리에 저장된 정보들에 접근하는 게 가능해진다. -본문 중 일부

영국의 캐노니컬(Canonical)에서 개발하는 우분투(Ubuntu) 18.04 LTS Bionic Beaver와16.04 LTS Xenial Xerus, 그리고 14.04 LTS Trusty Tahr 리눅스 커널의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 GA 커널 4.15.0-23 버전, HWE 커널 4.13.0-45 버전, GA 커널 4.4.0-128 버전, HWE 커널 4.4.0-128 버전, GA 커널 3.13.0-151 버전이 업데이트를 통해 배포되었습니다. *LTS : Long Term Support - 5년 간의 장기 지원 *HWE : Hardware Enablement - 하드웨어 지원 강화를 위한 커널로, 6개월마다 4번에 걸쳐 판올림하면서 지원 *GA : Gene..

구글(Google)에서 개발하는 크롬(Chrome)의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 67.0.3396.62 버전이 윈도, 맥OS, 64비트 리눅스에서 업데이트를 통해 각각 배포되었습니다. -- 이번 크롬 업데이트에는 34건의 보안 취약점에 대한 보안 패치가 포함되어 있습니다. 그 중에서 다음의 보안 취약점은 외부의 연구자가 신고하였고, 신고에 대한 포상금으로 500달러~5,000달러를 받게 됩니다. ■ High * CVE-2018-6123: Use after free in Blink * CVE-2018-6124: Type confusion in Blink * CVE-2018-6125: Overly permissive policy in WebUSB * CVE-2018-612..

2018년 5월 21일, 다음의 CPU 관련 취약점을 완화(경감)하기 위한 보안 패치가 발표되었습니다.(이런 CPU 취약점은 소프트웨어로는 해결하지 못하고, 그저 완화하고 경감할 수 있을 뿐입니다.) 구글과 마이크로소프트 등에서 추측적인 메모리 판독을 활용하는 마이크로프로세서가 사이드채널 공격을 통해 권한 없는 메모리 읽기를 허용할 수 있다는 사실을 발견하였습니다. (Microprocessors utilizing speculative execution of a memory read may allow unauthorized memory reads via a sidechannel attack.) 이 취약점은 Spectre Variant 4 (스펙터 변종 4)로 알려져 있습니다. 로컬 공격자는 커널 메모리를 ..

센트OS 프로젝트(The CentOS Project)에서 '빨간 모자' Red Hat Enterprise Linux (RHEL)의 커널 소스를 가져와 개발하는 CentOS 7과 CentOS 6 리눅스 커널의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 커널 3.10.0-862.3.2.el7, 커널 2.6.32-696.30.1.el6 버전이 업데이트를 통해 배포되었습니다. -- 이번 리눅스 커널 업데이트에서는 다음의 CPU 관련 취약점이 새로 발표됨에 따라 이 취약점을 완화(경감)하기 위한 보안 패치가 포함되어 있습니다.(이런 CPU 취약점은 소프트웨어로는 해결하지 못하고, 그저 완화하고 경감할 수 있을 뿐입니다.) 구글과 마이크로소프트 등에서 추측적인 메모리 판독을 활용하는 마이크로프로..

영국의 캐노니컬(Canonical)에서 개발하는 우분투(Ubuntu) 18.04 LTS Bionic Beaver와16.04 LTS Xenial Xerus, 그리고 14.04 LTS Trusty Tahr 리눅스 커널의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 GA 커널 4.15.0-22 버전, HWE 커널 4.13.0-43 버전, GA 커널 4.4.0-127 버전, HWE 커널 4.4.0-127 버전, GA 커널 3.13.0-149 버전이 업데이트를 통해 배포되었습니다. *LTS : Long Term Support - 5년 간의 장기 지원 *HWE : Hardware Enablement - 하드웨어 지원 강화를 위한 커널로, 6개월마다 4번에 걸쳐 판올림하면서 지원 *GA : Gene..

키뉴스 http://www.kinews.net/news/articleView.html?idxno=119467 -- 8번째 결함엔 인텔 소프트웨어 가드 익스텐션(SGX)도 안 통해 인텔 프로세서의 차세대 유령, 가상머신이용 클라우드 호스트 공격 가상머신(VM)을 이용해 클라우드 서비스용 호스트 서버를 공격하도록 통로를 열어놓게 만든다는 점에서 기업들을 긴장시키고 있다. 인텔은 이 문제를 해결하기 위해 2가지 패치를 계획중이며 첫 번째 패치는 5월에 시작되고, 두 번째 패치는 8월로 예정돼 있다. 애플 ARM 칩도 위험한가? “지금까지 우리는 인텔 프로세서와 패치 계획에 대한 구체적인 정보를 갖고 있지만, 적어도 일부 ARM CPU 역시 취약하다는 초기 증거가 있다”고 밝히고 있다. -본문 중 일부 -- 이..

이스트시큐리티 알약 블로그 http://blog.alyac.co.kr/1667 한 연구원 팀이 Intel CPU에서 새로운 “Spectre-class” 취약점 8개를 발견했다고 밝혔습니다. 새로 발견된 취약점들 중 하나는 가상 머신(VM)에 접근 권한을 가진 공격자들이 손쉽게 호스트 시스템을 공격할 수 있게 되어, 오리지널 Spectre 취약점보다 더욱 위협적입니다. 앞서 언급한 Spectre-NG 취약점은 공격자들이 시스템의 경계를 넘어 쉽게 악용할 수 있기 때문에, 잠재적인 위협을 새로운 단계로 끌어올릴 수 있습니다. Spectre-NG 취약점은 인텔 CPU에 영향을 미치며 일부 ARM 프로세서들에도 영향을 미친다는 것이 확인되었으나, AMD 프로세서에 영향을 미치는지 여부는 아직까지 확인되지 않았습..

영국의 캐노니컬(Canonical)에서 개발하는 우분투(Ubuntu) 16.04 LTS Xenial Xerus와 14.04 LTS Trusty Tahr 리눅스 커널의 새로운 기능 추가나 버그 수정 또는 보안 취약점 문제를 해결한 HWE 커널 4.13.0-39 버전, GA 커널 4.4.0-121 버전, HWE 커널 4.4.0-121 버전, GA 커널 3.13.0-145 버전이 업데이트를 통해 배포되었습니다. *LTS : Long Term Support - 5년 간의 장기 지원 *HWE : Hardware Enablement - 하드웨어 지원 강화를 위한 커널로, 6개월마다 4번에 걸쳐 판올림하면서 지원 *GA : General Availability - 출시 당시의 커널로, 5년 간 판올림 없이 지원 --..