2019년 12월 16일 보안정보 입니다.

12월 16일 보안정보 입니다.

=================================================

+ 주요 취약점 - 워드 프레스 보안 및 유지 보수 업데이트 발표

1. 워드 프레스 보안 및 유지 보수 업데이트 발표
[요약]
WordPress 5.3.1 업데이트 권고
- https://wordpress.org/news/2019/12/wordpress-5-3-1-security-and-maintenance-release/

=================================================

+ 취약점 - Apple iTunes security update for CVE-2019-8844

1. Apple iTunes security update for CVE-2019-8844
[요약]
Multiple memory corruption issues
- https://www.rapid7.com/db/vulnerabilities/apple-itunes-cve-2019-8844


=================================================

+ 보안정보 - 부활한 워터베어 캠페인, 이번에는 API 후킹 기능도 탑재 외 2건

1. 부활한 워터베어 캠페인, 이번에는 API 후킹 기능도 탑재
[요약]
오래된 캠페인 워터베어, 새롭게 등장.
이번에는 특정 보안 제품을 무력화시키는 기능을 탑재.
표적에 대한 이해도가 뛰어난 것으로 보임.
- https://www.boannews.com/media/view.asp?idx=85200

2. 에어도스 공격 통해 애플 장비를 사용 불능 상태로 만들 수 있어
[요약]
애플 장비들에 있는 에어드롭을 활용하는 에어도스 취약점 발견됨.
이 취약점 활용하면 애플 장비들에 계속해서 팝업 메시지 띄울 수 있음.
에어드롭 설정 통해 아무나 파일 전송 못하도록 하는 게 가장 안전.
- https://www.boannews.com/media/view.asp?idx=85189

3. 워드프레스 사이트를 해킹하는데 악용가능한 Elementor 및 Beaver 애드온 내 결점 발견
[요약]
널리 사용되는 이 유료 워드프레스 플러그인 두 개 모두에서 악용이 쉬운 인증 우회 취약점을 발견.
이 취약점을 악용할 경우 패스워드가 없이도 원격으로 사이트의 관리 권한에 접근.
페이스북 또는 구글을 통해 로그인할 때 공격자는 악의적인 사용자가 패스워드 없이도 로그인할 수 있도록 허용.
- https://blog.alyac.co.kr/2666?category=750247

=================================================