2020년 4월 23일 보안정보 스크래핑

2020년 4월 23일 보안정보 스크래핑 

==================================================================== 

+ 주요 취약점 - OpenSSL 취약점 보안 업데이트 권고 외 2건

 1. OpenSSL 취약점 보안 업데이트 권고
OpenSSL에서 발생하는 취약점을 해결한 보안 업데이트 발표
낮은 버전 사용자는 서비스 거부 공격에 취약하므로, 최신 버전으로 업데이트 권고
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35342

 2. Microsoft, 여러 제품에 대한 보안 업데이트 발표
Office 2016, Office 2019, Office 365 ProPlus 및 Paint 3D가 포함
원격 공격자는 이 취약점을 악용하여 영향을받는 시스템을 제어 할 수 있음
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200004

 3. Google은 크롬에 대한 보안 업데이트를 발표
Mac 및 Linux 용 Chrome 버전 81.0.4044.122를 출시
공격자가 영향을받는 시스템을 제어하기 위해 악용 할 수있는 취약점을 해결
- https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html

==================================================================== 

+ 취약점 - 특이사항 없음

==================================================================== 

+ 보안이슈 - IBM의 데이터 위험 관리자에서 장비 장악 취약점 발견돼 외 2건

 1. IBM의 데이터 위험 관리자에서 장비 장악 취약점 발견돼
IBM의 보안 플랫폼인 IDRM에서 심각한 취약점 네 개 발견.
이 중 세 개를 연달아 익스플로잇 할 경우 원격 코드 실행이 가능하게 됨.
IBM은 최초에 패치하지 않겠다 했으나 다음 업데이트 때 패치하겠다고 입장 변경.
출처: 보안뉴스 https://www.boannews.com/media/view.asp?idx=87768

 2. 컴퓨터 팬의 진동 통해 망분리된 장비에서 데이터 빼돌릴 수 있다
네트워크에 연결되지 않은 시스템에서 데이터 추출하는 실험 성공함.
컴퓨터 내부에 있는 팬의 진동을 활용해 데이터를 빼돌리는 원리.
그러나 성립되어야 할 조건이 상당히 까다로워 실제 실현 가능성은 낮음.
출처: 보안뉴스 https://www.boannews.com/media/view.asp?idx=87770

 3. 잊을 만 하면 등장하는 ‘발주서’ 악성메일, 이번엔 포스코 사칭했다
실존기업 포스코 인터내셔널 사칭해 메일 발송...첨부파일 악성진단률 매우 낮아
출처: 보안뉴스 https://www.boannews.com/media/view.asp?idx=87769

====================================================================