The Hackers News 발췌 분

 

Google Partially Patches Flaw in Chrome for Android 3 Years After Disclosure (2019-01-03)

 

l  Google은 Android 용 Chrome 웹 브라우저에서 사용자 기기 모델 및 펌웨어 버전 등을 유출시킬 수 있는 개인 정보 보호 취약성 중 일부를 패치 했습니다.

l  아직 CVE ID가 할당되지 않았지만, 이 취약성은 'User Agent' 문자열 생성 시 Android 버전 번호 및 장치 이름, 펌웨어 빌드 버전 등의 빌드 태그 정보를 포함하는 정보 노출 버그입니다.

l  2018년 10월 제공된 Chrome 70의 부분적 패치로 펌웨어 정보는 포함되지 않게 처리 되었지만, 하드웨어 모델 정보는 그대로 노출되고 있습니다. 모든 사용자는 Chrome 버전 70 이상으로 업그레이드 할 것을 적극 권장합니다.

l  뉴스보기

Proofpoint 발췌 분

 

Phishing template uses fake fonts to decode content and evade detection (2019-01-03)

 

l  Proofpoint 연구원들은 최근 주요 리테일 은행으로 가장하여 자격증명 수집에 활용되었던 독특한 인코딩을 가진 피싱 키트를 발견했습니다.

l  이 피싱 키트는 가짜 글꼴을 사용하여 내용을 해독하고 탐지를 피한다는 특성을 가지고 있으며, 미국 내 주요 은행으로 가장한 자격증명 수집 공격에 사용되었던 것으로 확인되었습니다.

l  위협 행위자들이 탐지를 회피하고 공격 행위를 숨기기 위한 새로운 기법들을 지속적으로 개발하고 있기 때문에 대체 암호를 수행하기 위해 커스텀 웹 폰트가 사용된 피싱 템플릿을 구성하는 것도 이에 해당한다고 볼 수 있습니다.

l  뉴스보기

KISA 보안공지

 

Adobe Acrobat 보안 업데이트 권고 (2019.01.07)

기타 동향

 

맥OS용 클리너인 클린마이맥 X에서 취약점 13개 발견

l  유명 맥OS 클리너 앱에서 취약점 다수 발견되었습니다.

l  13개중 12개는 권한을 상승시켜주는 취약점 나머지 1개는 디도스 공격취약점 입니다.

l  클린마이맥 X사용자라면 4.2.0 버전으로 업데이트권장합니다.

l  뉴스보기

 

프라이버시 지켜주는 앱에서 230만 고객 정보 노출

l  비밀번호 관리, 이메일 마스킹 등에 특화 된 소프트웨어 블러.

l  개발사가 정보 처리에 사용하는 AWS S3 버킷을 잘못 설정해 많은 고객정보가 노출되었습니다.

l  2018년 1월 6일 이전에 등록한 사용자라면 비밀번호를 변경하는 것이 권장됩니다.

l  뉴스보기

 

유럽연합, 오픈소스 소프트웨어 대상으로 한 버그바운티 시작

l  유럽연합, 오픈소스 소프트웨어 보호를 위한 버그바운티 시작했습니다.

l  총 15개 소프트웨어에 대한 버그바운티. 14개는 1월부터, 1개는 3월부터 시작합니다.

l  하지만 새 취약점 발견만큼 기존 취약점 해결도 중요하다는 지적이 나옵니다.

l  뉴스보기