The Hacker News 발췌문
Critical libwebp Vulnerability Under Active Exploitation - Gets Maximum CVSS Score (2023-09-27)

l  Google은 현재 활발하게 악용되고 있는 WebP 형식의 이미지를 렌더링하기 위한 libwebp 이미지 라이브러리의 심각한 보안 결함에 대해 새로운 CVE 식별자를 할당했습니다.
l  CVE-2023-5129로 추적된 이 문제는 CVSS 등급 시스템에서 최대 심각도 점수 10.0을 받았습니다. 허프만 코딩 알고리즘에 뿌리를 둔 문제로 설명되었습니다.
l  특별히 제작된 WebP 무손실 파일을 사용하면 libwebp가 범위를 벗어난 데이터를 힙에 쓸 수 있습니다. ReadHuffmanCodes() 함수는 미리 계산된 크기 배열(kTableSize)에서 나오는 크기로 HuffmanCode 버퍼를 할당합니다. color_cache_bits 값은 사용할 크기를 정의합니다. kTableSize 배열은 8비트 첫 번째 수준 테이블 조회의 크기만 고려하고 두 번째 수준 테이블 조회는 고려하지 않습니다. libwebp는 최대 15비트(MAX_ALLOWED_CODE_LENGTH)의 코드를 허용합니다. BuildHuffmanTable()이 두 번째 수준 테이블을 채우려고 하면 범위를 벗어난 데이터를 쓸 수 있습니다. 크기가 작은 배열에 대한 OOB 쓰기는 ReplicateValue에서 발생합니다.
l  뉴스보기

Update Chrome Now: Google Releases Patch for Actively Exploited Zero-Day Vulnerability (2023-09-28)

 

l  Google은 수요일에 Chrome 브라우저에서 활발하게 악용되는 새로운 제로데이를 해결하기 위한 수정 사항을 출시했습니다.
l  CVE-2023-5217로 등록된 심각도가 높은 취약점은 Google과 AOMedia(Alliance for Open Media)의 무료 소프트웨어 비디오 코덱 라이브러리인 libvpx의 VP8 압축 형식에서 힙 기반 버퍼 오버플로로 설명되었습니다.
l  이러한 버퍼 오버플로 결함을 악용하면 프로그램이 충돌하거나 임의 코드가 실행되어 가용성과 무결성에 영향을 줄 수 있습니다.
l  뉴스보기

Cisco Warns of Vulnerability in IOS and IOS XE Software After Exploitation Attempts (2023-09-29)

 

l  Cisco는 인증된 원격 공격자가 영향을 받는 시스템에서 원격 코드 실행을 달성하도록 허용할 수 있는 IOS 소프트웨어 및 IOS XE 소프트웨어의 보안 결함을 악용하려는 시도에 대해 경고했습니다.
l  중간 심각도 취약점은 CVE-2023-20109로 추적되며 CVSS 점수는 6.6입니다. 이는 GDOI 또는 G-IKEv2 프로토콜이 활성화된 모든 버전의 소프트웨어에 영향을 미칩니다.
l  회사는 이 단점으로 인해 "그룹 구성원이나 키 서버에 대한 관리 권한을 가진 인증된 원격 공격자가 영향을 받는 장치에서 임의 코드를 실행하거나 장치 충돌을 일으킬 수 있다"고 말했습니다.
l  뉴스보기

KISA보안공지

-          Apple 제품 보안 업데이트 권고

기타 동향
신한카드, 시스템 에러로 일부 서비스 중단 사고... 추석 연휴 사용자들 불편 초래 (2023-09-30)

l  9월 29일 오후 8시 이후 발생, 당일 홈페이지 사과문만...최소 3시간은 이어진 듯
l  신한카드에서 도메인 SSL 보안 인증서를 제때 갱신하지 않아 발생했을 가능성 제기
l  뉴스보기

요즘 대세인 하이브리드 클라우드 인프라, 장점과 단점은? (2023-10-03)

 

l  클라우드로 전환하는 과정 중 많은 기업들이 선택하고 있는 전략은 ‘하이브리드’이다. 최신 인프라 기술과 기존 인프라 기술을 혼합하여 사용하겠다는 것인데, 나쁘다고 말하기 힘들다. 그렇다고 장점만 있는 건 아니다.
l  뉴스보기
 

모바일 해킹 공격으로부터 내 스마트폰 보호하는 보안 설정방법 (2023-10-03)

 

l  휴대폰 보안 설정만으로 피싱·스미싱·개인정보유출 피해 예방 가능해
l  스마트폰 운영체제에 따른 단계별 설정 방법 소개
l  신규 보안 업데이트 및 최신 버전 소프트웨어 유지는 기본
l  뉴스보기