일일 보안이슈
ExploitAlert
Food Ordering Script 1.0 SQLi
Joomla com_eportfolio Upload Vulnerability
NoviFlow NoviWare <= NW400.2.6 multiple vulnerabilities
DeWorkshop 1.0 – Arbitrary File Upload
Joomla com_eportfolio Upload Vulnerability
Symantec Messaging Gateway <= 10.6.3-2 root RCE (CVE-2017-6327)
스마트폰 부품교체를 통한 Chip-In-The-Middle
스마트폰과 타블렛에서 수리및 액정교체등을 이유로 종종 교체되곤 하는 터치스크린과 기타 구성요소(커포넌트)들이 악성부품으로 교체되어 스마트폰을 완전히 제어할 수 있게 될 수 있다고 Ben-Gurion 대학의 연구결과 밝혀졌다. 이들은 헤어드라이어를 이용 터치스크린 컨트롤러를 본체에서 분리하고 구리 패드(copper pads)에 연결. 구리패드를 통신 버스를 조작하는 칩에 연결해 chip-in-the-middle 을 구현했다. 터치스크린을 통해 입력을 받는 스마트폰 특성상, 패턴인식등 모든 입력을 공격자가 가로챌 수 있다. 하지만 물리적으로 기기에 접근해야하고, 부품을 교체해야 가능한 방법. 시연영상에선 기기 잠금패턴을 하이재킹하는 모습을 볼 수 있다. 시연에 사용된 기종은 Synaptic 사의 터치스크린을 사용하는 Huawei Nexus 6P 와 Atmel 컨트롤러를 쓰는 LG G Pad 7.0. 연구원들은 비단 이 기기뿐 아닌 대부분의 기기가 동일 방식으로 하이재킹 당할 수 있다고 설명했다. 기사원문
크롬에 추가된 두 기능
Google Chrome Canary builds (v62.x) 부터 두 가지 기능이 추가. 확장 플러그인이 인터넷 연결을 제어할 때(프록시 설정이나 새 탭으로 페이지를 출력할 때) 경고창을 출력하는 기능. 이번 달 있었던 여러 확장 플러그인 개발자들이 피싱공격으로 그들이 개발한 제품이 악성 광고를 호스팅한데 악용된 사건과 무관하지 않아보인다. 기사원문
구글 알고리즘으로 유료 사진사이트의 워터마크 삭제 가능
사진 등에 사용된 워터마크는 부인방지와 저작권 표시등의 목적으로 사용된다. 대게 사진에 사용된 워터마크는 이미지를 일부 훼손시키고, 유료 결제시 원본 이미지를 사용할 수 있게 해주는 방식으로 쓰인다. 구글의 연구원은 여러 유료 이미지 판매 사이트(stcok photograpy websites)에서 사용하는 워터마크 방식에 취약점이 있어, 워터마크를 손쉽게 제거할 수 있다고 밝혔다. 물론 수동으로 워터마크를 지울 수 없는건 아니지만, 구글 알고리즘을 통해 자동화가 가능해진다면 이는 stock photogrypy 사업의 근간에 영향을 끼칠 수 있는 사항. 기사원문
아이폰 PIN 브루트포싱 기기
동시 세 대의 기기 지원. 현재 iPhone 7, 7 Plus 모든 기기에서 사용 가능. iOS 11 최종버전이나 베타4부터는 차단 될 거라고. 중국에서 $500에 판매중.
