일일 보안이슈
블리자드 DNS Rebinding 취약점 노출
구글 연구원이 Blizzard games 에 존재하는 DNS Rebinding 취약점을 발견했다. 이로인해 원격의 공격자가 게임 사용자 PC에 코드를 실행할 수 있다. 블리자드 게임을 이용키 위해선 웹 브라우저로 전용 클라이언트(Blizzard Update Agent)을 설치해야한다. 이 클라이언트는 HTTP 프로토콜로 1120 포트를 통해 JSON-RPC 서버를 실행하고, 설치/삭제/설정변경/업데이트 등 여러 유지관리에 관련한 기능을 제공한다.
이번 취약점 또한 Tavis Ormandy 가 발견. DNS Rebinding 취약점은 어떤 웹사이트라도 다른 외부 서버와 그 서버에 접속하려는 로컬호스트(접속브라우저) 사이에 브릿지(중계?) 역할을 할 수 있는 취약점. POC도 함께 발표. 지난주 Ormandy 는 동일 공격벡터로 발생하는 Transmission 취약점을 발표한 바 있다. 기사원문
Youtube 동영상 시청 스캠
싸고 좋은 물건은 없다는 교훈을 다시 생각해 봐야 할 때. 브라우저에 표시되는 카운트다운(동영상)을 모두 기다리면 Amazon 기프트 카드를 무료로 준다고 광고하는 한 사이트가 있지만, 실제론 아무것도 주지 않았다. in-browser 가상화폐 채굴기가 강하게 의심되지만 그것도 아냐… 유튜브를 통한 수익창출이 활발해지면서, 수익창출 최소요건(구독자 1000명, 총 재생시간 4000시간)을 맞추기 위한 동영상. 이것으로 수익창출이 가능할까 싶지만, 기존에 없던 전혀 새로운 방식의 스캠. 기사원문
인텔 Meltdown, Spectre 취약점 패치 보류 권고
“We recommend that OEMs, cloud service providers, system manufacturers, software vendors and end users stop deployment of current versions, as they may introduce higher than expected reboots and other unpredictable system behavior,”
출처 – 인텔블로그