일일 보안이슈
ExploitAlert
PHP Coupon Script 6.0 – ‘cid’ Parameter SQLi
Bitcoin,Dogecoin Mining 1.0 – Authentication Bypass
Windows Escalate UAC Protection Bypass Via COM Handler Hijack
Sync Breeze Enterprise 9.9.16 – ‘Import Command’ BOF
산업용 Cobot 원격 해킹 시연
IOActive 는 산업용 Cobat을 원격으로 해킹해 보안설정을 변경하고, 이로인해 주변 사람들에게 물리적 위해를 가할 수 있는 시연을 선보였다. Cobot 은 Collaborative robot 의 약자로 사람과 같은 작업공간에서 물리적으로 상호작용하는 로봇을 일컫는 말. 일반적으로 로봇이 독립된 공간에서 별도의 제어 없이 자체적으로 동작토록 설계된단 점에서 차별화된다. 취약점에 대한 IOActive 의 테크니컬 리포트 와 기사원문
Fuze 커뮤니케이션 플랫폼 패치소식
Fuze 는 Rapid7에 의해 알려진 클라우드 기반 통합 통신 플랫폼의 구성요소에 존재하는 여러 취약점을 패치했다. 취약점으로 인해 민감 정보를 탈취할 수 있고, 관리자 인터페이스에 브루트포싱이 가능해진다. 기사워문
Unity, 치명적인 에디터 취약점에 대해 개발자들에게 경고
Unity 는 Unity Technologies 에서 개발한 크로스 플랫폼 게임 엔진. RCE가 가능한 치명적 취약점이 발견됐다. Uniti Tech는 부분적으로 취약점을 공개하고 플랫폼의 일부 버전에 해당하는 패치를 배포했으며, Unity 로 개발된 프로그램이 문제없이 동작하도록 가이드를 제공했다. 취약점은 입력 문자열을 제대로 검증하지 않아 발생. Windows 버전 에디터에서 발생한다. 자세한 내용은 기사원문참고
이미 전송된 이메일의 내용을 바꿀 수 있는 Ropemaker 공격
이미 전송된 상태의 이메일 내용을 바꿀수 있는 공격. 스팸메일 처리 로직등을 우회하는데 사용될 수 있을것으로 보인다. 예를들어 공격자는 이메일에 삽입된 URL을 악성으로 바꾸는 등의 행위를 할 수 있다. 이 모두는 수신자의 메일함에 접근 없이도 가능. Mimecast 가 처음 소개한 이 공격은 HTML에 적용되는 CSS를 활용한 기법. 기술문서 에서 자세한 내용 확인 가능.
무선 마우스, 키보드를 하이재킹, RAT 설치까지
Android 8.0 변경사항 소개
“Android 8.0에는 새로운 기능 및 특징과 더불어 다양한 시스템 및 API 동작 변경 사항이 포함되어 있습니다. 이 문서에서는 여러분이 앱에서 숙지하고 고려해야 하는 몇 가지 주요 변경 사항을 소개하겠습니다.” 안드로이드 개발자페이지
알약의 DNS 터널링 기법 소개
Bitdefender의 Heap BOF
지난 7월 24일 첫 발견 이후 8월 22일 현재 패치 완료. 7z LZMA 에 존재하는 취약점. 기술문서
