일일 보안이슈
ExploitAlert
Microsoft .NET Privilege Escalation
Microsoft Office 365 Enterprise E3 Insufficient Session Expiration
Lab Fiftyfive SQL injection
Apache Solar 5.5.4 / 6.5.1 Member Spoofing CVE-2017-7660
자막을 이용한 새로운 공격벡터
CheckPoint 는 자막을 이용한 새로운 공격벡터를 발표. 여기엔 VLC, Kodi(XBMC), PopcornTime, strea.io 등 유명 스트리밍 플랫폼에서 발견된 여러 취약점과 관련있다. 단 몇 주만에 오픈소스 프로젝트로 개발된 멀티 플랫폼 Netflix for Pirates 는 토렌트 클라이언트와 비디오 플레이어 및 endless scraping 기능(자동으로 비디오 메타데이터(포스터, 작가, 출연진 등 )를 긁어오는걸 말하는듯)들을 매우 친숙한 GUI로 통합해서 사용할 수 있게 해줬다. 공짜여서 더욱 널리 사용되는 중. 이 중, 자막 파일 포맷 중 하나인 SRT 파일내에 HTML 을 포함할 수 있는 것이 공격벡터. 자세한 내용은 아래 시연영상 및 보고서 원문 참고.
크롬, WoSign, StartCom 인증서 신뢰치 않기로
WoSign과 StartCom 은 유명 중국 인증서 인증업체. 구글은 크롬 61 출시와 동시에 이 두 인증업체서 발급된 SSL/TLS 인증서를 신뢰치 않겠다 발표. WoSign 은 Github 도메인 인증서를 인증과정 없이 익명의 GitHub 유저에게 발급한 전력이 있다.과거 기사. 이 사건으로 인해 구글은 2016년 10월 이전에 발급된 모든 WoSign과 StartCom 의 인증서를 신뢰치 않기로 했었다. 기사원문
안드로이드용 악성코드 SpyDealer
PaloAlto 에 따르면 최근 발견된 안드로이드용 악성코드 SpyDealer 는 40개 이상의 앱에서 개인 민감정보를 추출할 수 있다고 발혔다. Android Accessibility service(안드로이드 접근성 서비스?)기능을 이용해 커뮤니케이션 앱들로 부터 민감정보를 훔칠 수 있고, 상엄용 루팅앱 Baidu Easy Root 를 이용해 루트권한을 획득, 지속적으로 감염기기에 남아있는다. UDP/TCP 및 SMS 를 통해 감염기기를 원격으로 제어할 수 있고, WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tecnecnt Weibo, 안드로이드 기본 브라우저, Firefox, Oupeng 브라우저, QQ Mail, NetEase Mail, Taobao, Baidu Net Disk 앱 등의 정보를 탈취하는 기능이 있다. 아직 구글 플레이스토어에 등록되진 않았지만, 무선 네트워크 등 다른 경로로 감염된 사용자가 있을수도. 안드로이드 2.2 ~ 4.4 버전에서만 동작한다.(Baidu Easy Root 의 서비스가능 버전) 이 버전은 전체 안드로이드 기기의 25%정도를 차지. 기사원문과 PaloAlto 보고서
