차고 넘치는 보안이슈, 간략하게 정리해 드립니다.
일일 보안이슈 IR 감시카메라 하드코딩된 로긴 크리덴셜 취약점 LiquidWorm 이란 닉네임의 사용자는 지난 9월 25일 ‘FLIR Systems’ 에서 제작한 FLIR CCTV 에 존재하는 취약점을 발표. 취약점은 하드코딩된 ssh 로그인 정보가 리눅스 배포 이미지에 삽입되어 있는 것. 이 크리덴셜은 카메라 내의 어떤 인터페이스(정상적인 접근방식)을 통해서도 수정이 불가능. 영향받는 기기 및 소프트웨어 버전은 F/FC/PT/D 시리즈 모델의 소프트웨어…
일일 보안이슈 아이폰 권한상의 헛점으로 인한 제한적 위치 추적 가능 스마트폰으로 사진을 찍을 때, 찍은 위치 태그를 이미지에 표시할 수 있음. 이를 가져오는 iOS 어플리케이션을 만들고, 상대적으로 낮은 이미지 관련 권한만 얻으면, 아이폰 로컬에 저장된 이미지들로부터 위치 태그를 가져와 사용자의 이동경로를 추적할 수 있는 방식. Felix Krause 가 처음 발견. 이는 iOS 가 사진을 단순히…
일일 보안이슈 IE 버그로 인해 주소표시줄 입력값 노출 주소표시줄에 입력되는 값엔 사용자가 새로 이동하고자 하는 웹 주소뿐 아니라 IE 가 Bing 을 통해 받은 검색어 제안도 포함. 인트라넷 주소등이 노출될 수 있다. Manuel Caballero 가 발견한 이 버그는 익스플로잇도 간편. 악의적 HTML 태그가 포함된 웹페이지를 IE에서 로드하고, 소스코드에 호환성보기 메타 태그가 있는 경우(?) 발생. (원문,…
일일 보안이슈 ExploitAlert Broadcom 802.11v WNM Sleep Mode Response Heap Overflow FLIR Systems FLIR Thermal Camera F/FC/PT/D Hard-Coded SSH Credentials Porn 3movs Cross Site Scripting Xss FLIR Systems FLIR Thermal Camera PT-Series PT-334 200562 Remote Root FLIR Systems FLIR Thermal Camera FC-S/PT Authenticated OS Command Injection Cloudflare DDoS 경감기술 추가비용없이 제공 Cloudflare 는 해외 유명…
일일 보안이슈 ExploitAlert Apple assembleBGScanResults Heap BoF Apple Out-Of-Bounds NUL Byte Write Apple updateRateSetAsyncCallback Heap BoF Apple AppleBCMWLANCore Driver Heap Overflow Microsoft Edge Chakra JavascriptFunction::ReparseAsmJsModule Parsing Issue 악성코드 개발자사이에 인기를 끌고있는 Coinhive 툴 ChoinHive 는 웹사이트 소유자가 자신의 웹사이트에 로드할 수 있는 자바스크립트 라이브러리. 이름에서 알 수 있듯이 가상화폐 채굴의 기능을 갖는다. 사용자가 웹사이트에 접속하면,…
일일 보안이슈 ExploitAlert ZKTeco ZKTime Web 2.0.1.12280 Information Disclosure Apache HTTPd 2.4.27 OPTIONS Memory Leak Microsoft Windows Kernel win32k.sys TTF Font BoF HPE < 7.2 Java Deserialization Apache Tomcat RCE 취약점 패치 PUT 메소드로 Windows 기반 웹서버에 HTTP 요청시 서버에 jsp 파일을 업로드할 수 있는 취약점(CVE-2017-12615, Apache Tomcat 7.0.0 ~ 7.0.79 해당) 과 VirtualDirContext 클래스…
일일 보안이슈 ExploitAlert Microsoft Windows Kernel win32k!NtGdiDoBanding Stack Memory Disclosure Microsoft Windows Kernel win32k.sys TTF Font Buffer Overflow Microsoft Windows Kernel win32k!NtQueryCompositionSurfaceBinding Stack Memory Disclosure SUSE/Portus 2.2 XSS ZKTeco ZKTime Web 2.0.1.12280 XSRF 해커가 비트코인지갑을 탈취하는 방법 시연 보안연구원들은 지난 수년간 SS7(Signaling System 7)에 있는 해커가 개인 통화 및 문자 메시지를 감청할 수 있는 치명적…
일일 보안이슈 ExploitAlert Contact Manager 1.0 ‘femail’ Parameter SQLi PTCEvolution 5.50 SQLi Icecream screen recorder DLL Hijacking Microsoft Windows Kernel win32k!NtGdiGetGlyphOutline Pool Memory Disclosure Netdecision 5.8.2 Local Privilege Escalation CCleaner 해킹, 악성코드 배포해 CCleaner 는 Piriform 에서 제작하고 Avast가 인수한 20억건의 다운로드를 기록한 세계적으로 가장 많이 쓰이는 PC최적화 프로그램중 하나. 최근 공식 웹사이트가 해킹돼 악성코드를…
일일 보안이슈 ExploitAlert WordPress Contact Form 7 International Sms Integration Plugin XSS WordPress cool-flickr-slideshow Plugin XSS Subrion Cms Cross Site Scripting XSS A2billing 2.x SQLi Apache Struts 2.5 Remote Code Execution Python Deserialization 취약점 Deserialize vulnerabilities 란? 대다수의 프로그래밍 언어는 어플리케이션 데이터를 디스크나 네트워크 스트림에 기록하기 위한 내장 기능을 제공하는데, 이 과정을 직렬화/역직렬화(Serialize/Deserialize) 라고 한다.…
일일 보안이슈 ExploitAlert TeraCopyService 3.1 Unquoted Service Path Privilege Escalation Asterisk 14.6.1 RTP Bleed Play TV 1.25.1 Build r123776 DLL Hijacking Innovins SQLi Vulnerability IGreeting Cards 1.0 SQL Injection Apache Struts2 취약점 자바로 웹 어플리케이션을 개발 할 수 있는 유명 오픈소스 프레임워크, Apache Struts 에서 서버측에 RCE를 할 수 있는 치명적 취약점이 lgtm 에 의해…