2019년 12월 23일 보안정보 입니다.

12월 23일 보안정보 입니다.

=================================================

+ 주요 취약점 - Microsoft Windows 10 BasicRender.sys - Denial of Service (PoC)

1. Microsoft Windows 10 BasicRender.sys - Denial of Service (PoC)
[요약]
Denial of Service (PoC)
- https://www.exploit-db.com/exploits/47797

=================================================

+ 취약점 - phpMyChat-Plus 1.98 - 'pmc_username' Reflected Cross-Site Scripting 외 1건

1. phpMyChat-Plus 1.98 - 'pmc_username' Reflected Cross-Site Scripting
[요약]
** (phpMyChat-Plus 는 php로 제작된 웹채팅방)
vulnerable to Cross-Site Scripting
- https://www.exploit-db.com/exploits/47798

2. FaceTime _RSU_DecodeByteBuffer Out-Of-Bounds Read (CVE-2019-8830)
[요약]
** (FaceTime 은 Apple이 개발한 영상통화 소프트웨어)
out-of-bounds read vulnerability
- https://packetstormsecurity.com/files/155740/FaceTime-_RSU_DecodeByteBuffer-Out-Of-Bounds-Read.html

=================================================

+ 보안정보 - 작년에 발견된 시스코 장비 내 취약점, 아직도 적극 악용된다 외 2건

1. 작년에 발견된 시스코 장비 내 취약점, 아직도 적극 악용된다
[요약]
시스코의 ASA와 파이어파워 어플라이언스에서 발견된 취약점, 작년에 패치됨.
하지만 이 취약점을 통한 공격이 오히려 거세지고 있음.
시스코는 경고문을 발표하며 취약점의 위험도를 1단계 격상시킴.
- https://www.boannews.com/media/view.asp?idx=85355

2. 최근 사이버 공격, 보안전문가 피해 ‘엣지’ 서비스 노렸다
[요약]
사이버 공격자들, 바쁜 휴가시즌에 경계가 느슨해진 조직을 공격하기 위해 전통적인 공격 전술 재통합.
사디지털 공격 영역에서 새로운 공격 기회를 지속적으로 찾고 있음.
공개적으로 이용 가능한 엣지 서비스를 타깃으로 삼는 등 공격 벡터를 전환.
- https://www.boannews.com/media/view.asp?idx=85339

3. 패치되지 않은 윈도우용 Dropbox 제로데이 취약점이 해커에게 시스템 권한상승을 가져온다
[요약]
이 취약점은 클라이언트 응용 프로그램을 최신 상태로 유지하는 DropBoxUpdater 서비스 에 있음.
공격자는 간단한 Windows 사용자 권한에서 예약 된 SYSTEM 권한으로 권한상승 할 수 있음.
취약점을 해결하기 위해 DropBox Updater에서 로그 작성 코드를 차단 하는 마이크로 패치 무료로 제공.
- https://gbhackers.com/dropbox-windows/

=================================================