정보보호 전문기업 두루안이 함께 합니다.
The
Hacker News 발췌분
Cisco
Jabber Bug Could Let Hackers Target Windows Systems Remotely (2020-09-03)
l 네트워킹 장비
제조업체인 Cisco는 Windows용 Jabber 화상 회의 및 메시징 앱의 새 패치 버전을 출시했습니다.
Watchcom 사이버보안 회사가 침투 테스트 중에 발견한 이 취약점들은 현재 지원되는 모든
Jabber 클라이언트 버전 (12.1-12.9)에 영향을 미칩니다.
l 4개의 결함
중 2개는 그룹대화 또는 특정개인에게 특수 제작된 채팅 메시지를 전송하여 대상 시스템에서 원격 코드
실행을 얻기 위해 악용될 수 있습니다. 악의적으로 제작된
XMPP(Extensible Messaging and Presence Protocol) 메시지를 전송하는 결함(CVE-2020-3495)은 CVSS 9.9점입니다. 또한 Jabber의 다른 세 가지 결함 (CVE-2020-3430, CVE-2020-3498, CVE-2020-3537)이 악용되어 사용자의 NTLM 암호 해시를 은밀하게 수집할 가능성을 포함하여 명령을 주입하고 정보를 공개할 수 있습니다.
l Jabber
사용자는 위험을
완화하기 위해 최신 버전의 소프트웨어로 업데이트해야 합니다. 또한 애플리케이션 자체와 사용중인 인프라
모두 보안 허점에 대해 정기적으로 감사를 받으십시오.
l 뉴스보기
Maximum
Lifespan of SSL/TLS Certificates is 398 Days Starting Today (2020-09-01)
l 오늘부터
새 TLS 인증서의 수명은 이전 최대 인증서 수명인
27개월 (825일)에서 1년이 조금 넘는 398일로 제한됩니다.
l 인증서 수명
제한은 피싱 및 맬웨어 공격을 수행하기 위해 손상된 인증서나 가짜인증서를 악용 할 수 있는 기간을 줄이므로 보안을 강화하기 위해 Apple, Google 및 Mozilla는 만료되는 각 웹
브라우저에서 공개적으로 루팅 된 디지털 인증서를 거부하도록 설정되었습니다.
l
개발자와 사이트
소유자의 경우 Let's Encrypt 및
EFF의 CertBot과 같은 도구를 사용하여 인증서 자동화를 구현하기에 좋은
시기입니다. 이 도구는 수동 개입 없이 SSL 인증서를
쉽게 설정, 발급, 갱신 및 교체할 수 있는 방법을
제공합니다.
l 뉴스보기
KISA보안공지
WordPress
File Manager 플러그인 보안
업데이트 권고 (2020-09-04)
Cisco
제품 취약점 보안
업데이트 권고 (2020-09-03)
기타
동향
안전한 가명정보
활용을 위한 ‘가명정보 처리 가이드라인’ 나왔다 (2020-09-02)
l 개인정보보호위원회, ‘가명정보 처리 가이드라인(가명처리편)’ 공개.
l 개인정보처리자는
개인정보 처리의 기본원칙을 준수하는 범위 내에서 가명처리의 전 과정을 진행해야.
l 보호위는 이번에
마련된 가명처리편에 이어 ‘가명정보의 결합·반출편’도 마련할 계획.
l 뉴스보기
러시아 해커
포럼에 미국 유권자 개인정보 무료로 공개돼 (2020-09-02)
l
러시아 해커
포럼에서 미국 유권자 정보 대량으로 나옴.
l 수천만 건에
달하는 개인정보가 무료로 공개됐다고 러시아 일간지가 보도.
l 일부 공격자들은
미국 국무부 보상 프로그램 통해 돈까지 받아냈다고 자랑 중.
l 뉴스보기
국내 주요
정보보안 기업 매출 분석, 2020년 상반기 누가 잘했나
(2020-08-31)
l 2020년 상반기
보안기업 매출 TOP 5... SK인포섹, 안랩, 시큐아이, 윈스,
이글루시큐리티 순.
l 상장
보안기업 21곳 중 14개 기업, 올해 상반기 별도기준 매출이 2019년 상반기보다 올라.
l 뉴스보기