일일 보안이슈
Windows 10 RCE 취약점
자세한 내용은 없고 시연 영상만 공개된 상태. 영상으론 Windows 10 에 설치된 크롬이나 파이어폭스, 오페라 브라우저로 특정 웹페이지에 방문하니 취약점이 발생
시연영상
자막파일을 이용한 타이핑 하이재킹 방법 발견
미디어플레이어들은 여러종류의 자막파일 형식을 지원한다. 현재 각각의 포맷은 고유한 기능이 있는 25개의 자막포맷이 존재. 더 나은 서비스를 제공키 위해 특정한 경우 미디어플레이어는 동시에 여러 자막 포맷을 함께 파싱해 사용해야 하는 경우도 있다. 파싱과정에는 플레이어마다 다른 방식이 사용고, 이 과정에서 다양한 취약점이 발생할 수 있다.
현재 분석에서 밝힌 취약한 미디어 플레이어는 Popcorn Time, Kodi, VLC, Stremio 이지만, 다른 플레이어도 비슷한 방식의 취약점이 존재할거란 언급. 모두 RCE 취약점과 관련있다. CheckPoint 블로그 와 이를 다룬 기사원문
- Popcorn Time Subtitles Remote Code Execution
- Kodi Open Subtitles Addon Remote Code Execution
- VLC ParseJSS Null Skip Subtitle Remote Code Execution
- Stremio Subtitles Remote Code Execution
시연영상
삼성 갤럭시 S8 홍채인식기술 우회가능
삼성 갤럭시 S8에 있는 홍채인식을 통한 사용자 인증기능이 인쇄된 사진과 콘택트 렌즈를 통해 우회할 수 있음이 밝혀졌다. 옥일 해커그룹 Chaos Computer Club 이 밝힌 이 방법에 따르면, 휴대폰 소유자의 얼굴 사진을 찍고, 인쇄하고, 사진에 콘택트 렌즈를 겹쳐서 인식시키면, 인증을 우회할 수 있다고 한다. 야간 촬영모드를 쓰거나, 적외선 필터를 제거하고 찍는게 도움은 되지만, 사진을 꼭 클로즈업 해서 찍을 필요도 없다고… 기사원문
시연영상
트위터 버그, 어떤 계정으로라도 트윗 가능
공격자가 트위터의 로그인 없이도 어떤 계정의 명의로라도 트윗을 올릴 수 있는 버그가 발견됐다. Kedrisec 란 이름으로 활동하는 보안연구원은 이 취약점을 신고해 $7,560 의 보상금은 수령, 지난 2월이후 현재는 패치된 상태. 자세한 사항은 그의 블로그에서 확인할 수 있다.
읽을거리
Windows 10, UAC 우회방법
분석보고서. 현재 계정이 Administrators 그룹에 속해있다면 사용불가. (대부분의 윈도우계정은 이 그룹에 속해있음)
