반응형

CVE 63

파이어폭스(Firefox) 83 업데이트 - 취약점 21건 패치

모질라(Mozilla)에서 개발하는 웹브라우저인 '불여우' 파이어폭스(Firefox)의 새 버전이 나왔습니다.2020년 11월 17일(시차로 인해 우리나라에서는 18일)에 공개된 새 버전은 83.0 입니다. 한편, 파이어폭스 ESR (Extended Support Release)도 78.5.0 버전이 공개되었습니다.파이어폭스 83.0과 달리 파이어폭스 ESR 78.5.0은 새로운 기능 추가 없이 보안 패치만 제공됩니다. 파이어폭스 ESR은 데비안(Debian) 리눅스에서 기본 브라우저로 제공되며,토르(Tor) 브라우저나, '천둥새' 썬더버드(Thunderbird) 이메일 클라이언트로 변형되어 개발되기도 합니다. HTTPS 전용 모드 파이어폭스 83에서는 'HTTPS-Only mode' (한국어로는 'HT..

시스템 전체를 해킹하도록 허용하는 치명적인 리눅스 Wi-Fi 버그 발견

시스템 전체를 해킹하도록 허용하는 치명적인 리눅스 Wi-Fi 버그 발견A critical Linux Wi-Fi bug could be exploited to fully compromise systemsCVE-2019-17666 이스트시큐리티 알약 블로그 : https://blog.alyac.co.kr/2568 GitHub의 수석 보안 엔지니어인 Nico Waisman이 리눅스의 치명적인 결함을 발견했습니다. CVE-2019-17666으로 등록된 이 취약점은 악용될 경우 공격자가 취약한 기기 전체를 해킹할 수 있게 됩니다. 이 취약점은 리눅스 커널 5.3.6 및 이전 버전에 영향을 미칩니다. 연구원들에 따르면, 이 문제는 최소 2015년부터 존재해왔습니다. -본문 중 일부 데비안 10 Buster (Sta..

크롬(Chrome, Chromium) 계열 제로데이 취약점 패치 여부

2019년 10월 29일에 카스퍼스키 랩이 신고한 CVE-2019-13720 보안 취약점( https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/ ) 최근 모 웹사이트에서 이미 악용되어 악성코드로 만들어졌음이 확인됨( https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=031&aid=0000514288&sid1=001 ) Chrome & Chromium : 제로데이(0-Day) 취약점과 보안 패치 : https://la-nube.tistory.com/749 Chrome/Chromium의 Stable 채널 중 78.0.3904.87 버전에서..

안드로이드OS, 리눅스 블루투스 취약점 보안 업데이트 권고

안드로이드OS, 리눅스 블루투스 취약점 보안 업데이트 권고CVE-2019-9506 한국인터넷진흥원(KISA) : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35178 □ 개요 o 블루투스 프로토콜에서 발생하는 취약점을 해결한 보안 업데이트 발표 o 낮은 버전을 사용 중인 OS 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고 □ 설명 o 블루투스 프로토콜(BR/EDR)에서 암호화 수준이 낮은 키 길이를 허용하여 공격자가 트래픽을 도청하고 변조할 수 있는 정보노출 취약점(CVE-2019-9506) -본문 중 일부 데비안 10 Buster (Stable) - linux : 보안 패치가 완료된 커널 4.19.67-2+..

Sudo 결점, 제한된 리눅스 사용자가 루트 권한으로 명령 실행하도록 허용해

Sudo 결점, 제한된 리눅스 사용자가 루트 권한으로 명령 실행하도록 허용해Sudo Flaw Lets Linux Users Run Commands As Root Even When They're RestrictedCVE-2019-14287 이스트시큐리티 알약 블로그 : https://blog.alyac.co.kr/2557 거의 모든 Unix 및 Linux 기반 OS에 핵심 커맨드로써 설치 되어 출시 되는 가장 중요하고 강력하며 흔하게 사용 되는 유틸리티 중 하나인 Sudo에서 취약점이 발견 되었습니다. 문제의 취약점은 Sudo의 보안 정책 우회 이슈로 악성 사용자나 프로그램이 “sudoers 구성”이 명시적으로 루트 접근을 허용하지 않을 때에도 루트 권한으로 임의 명령을 실행할 수 있도록 허용합니다. -본..

<KISA> MS 인터넷 익스플로러 긴급 보안 업데이트 권고

출처 : 한국인터넷진흥원(KISA) https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35148 --- □ 개요 o MS에서 Internet Explorer의 취약점을 해결한 보안 업데이트 발표 [1] o 공격자가 해당 취약점을 악용한 사례가 발견되어 영향받는 이용자는 최신 버전으로 업데이트 당부 □ 설명 o Internet Explorer에서 스크립팅 엔진이 메모리에 있는 개체를 처리할 때 발생하는 원격코드실행 취약점(CVE-2019-1367) [1] □ 영향을 받는 제품제품명버전심각도(CVSS)인터넷 익스플로러IE 9, 10, 11HIGH(7.5) □ 해결 방안 o 수동 업데이트(자동 업데이트 미지원) - MS 업데이트 ..

구글 크롬(Chrome) 77.0.3865.90 보안 패치

구글(Google)이 개발하는 크롬(Chrome)의 보안 패치가 발표되었습니다.보안 업데이트가 포함되어 발표된 버전은 77.0.3865.90 입니다. 이번 업데이트에는 4건의 보안 취약점에 대한 보안 패치가 포함되어 있습니다. 발표된 4건 모두 Use-after-free 취약점이며, UI와 미디어, 오프라인 페이지에 관련되어 있습니다. * [$TBD][1000934] Critical CVE-2019-13685: Use-after-free in UI. Reported by Khalil Zhani on 2019-09-05 * [$20000][995964] High CVE-2019-13688: Use-after-free in media. Reported by Man Yue Mo of Semmle Securit..

<KISA> 알씨(ALSee) 메모리 커럽션 취약점 보안 업데이트 권고

출처 : 한국인터넷진흥원(KISA) https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35133 --- □ 개요 o 이스트소프트社는 알씨(ALSee) 제품의 취약점을 해결한 보안 업데이트 발표 o 낮은 버전을 사용중인 경우 악성코드 감염에 취약할 수 있으므로, 최신 버전으로 업데이트 권고 □ 설명 o 이미지 뷰어 프로그램인 알씨(ALSee)가 .PSD 파일 데이터를 처리하는 과정에서 정해진 힙 메모리 범위를 벗어난 영역에 데이터를 쓸 수 있는 취약점으로 특수하게 조작된 .PSD 파일을 통해 임의의 코드를 실행할 수 있음(CVE-2019-12810) □ 영향을 받는 제품제품명버전심각도(CVSS)ALSee5.3 ~ 8.397.8..

<KISA> ipTIME NAS 제품 취약점 보안 업데이트 권고

출처 : 한국인터넷진흥원(KISA) https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35097 --- □ 개요 o EFM 네트웍스社는 ipTIME NAS(Network Attached Storage) 제품의 취약점을 해결한 보안 업데이트 발표 [1] o 낮은 버전을 사용 중인 기기는 악성코드 감염에 취약할 수 있으므로, 최신 버전으로 업데이트 권고 □ 설명 o 관리자 페이지에서 특정 파라미터에 대한 검증이 미흡하여 발생하는 버퍼오버플로우 및 시스템 명령 실행 취약점 □ 영향을 받는 제품제품명버전심각도(CVSS)NAS4dual1.4.14를 포함한 이전 버전7.2(HIGH)NAS2dualNAS4NAS3NAS2eNAS2NAS1 ..

리브레오피스(LibreOffice)에서 보안 취약점 3건 패치됨

(이미지 출처 : 리브레오피스) 리브레오피스(LibreOffice)에서 3건의 보안 취약점이 발견되어 보안 패치가 나왔다는 소식입니다. 이번에 발견된 보안 취약점들은 CVE-2019-9847, CVE-2019-9848, CVE-2019-9849라는 이름이 붙어 있습니다. 먼저, CVE-2019-9847은 하이퍼링크를 활성화하면 무조건 실행되는 취약점이라고 합니다. 리브레오피스 6.1.5와 6.2.2 이하의 버전에서 존재하며, 윈도우와 맥OS에서만 문제가 됩니다. 따라서 리눅스에서는 영향을 주지 않습니다. 이 취약점은 리브레오피스 6.1.6과 6.2.3 버전에서 해결되었습니다. 그 다음으로 CVE-2019-9848과 CVE-2019-9849는 리브레오피스 6.2.4 이하의 버전에서 발생하며, 윈도우, 맥O..

반응형