[보안뉴스]2020년 9월 1주 동향

 

 

The Hacker News 발췌분

 

Cisco Jabber Bug Could Let Hackers Target Windows Systems Remotely (2020-09-03)

 

l 네트워킹 장비 제조업체인 Cisco는 Windows용 Jabber 화상 회의 및 메시징 앱의 새 패치 버전을 출시했습니다. Watchcom 사이버보안 회사가 침투 테스트 중에 발견한 이 취약점들은 현재 지원되는 모든 Jabber 클라이언트 버전 (12.1-12.9)에 영향을 미칩니다.

l 4개의 결함 중 2개는 그룹대화 또는 특정개인에게 특수 제작된 채팅 메시지를 전송하여 대상 시스템에서 원격 코드 실행을 얻기 위해 악용될 수 있습니다. 악의적으로 제작된 XMPP(Extensible Messaging and Presence Protocol) 메시지를 전송하는 결함(CVE-2020-3495)은 CVSS 9.9점입니다. 또한 Jabber의 다른 세 가지 결함 (CVE-2020-3430, CVE-2020-3498, CVE-2020-3537)이 악용되어 사용자의 NTLM 암호 해시를 은밀하게 수집할 가능성을 포함하여 명령을 주입하고 정보를 공개할 수 있습니다.

l Jabber 사용자는 위험을 완화하기 위해 최신 버전의 소프트웨어로 업데이트해야 합니다. 또한 애플리케이션 자체와 사용중인 인프라 모두 보안 허점에 대해 정기적으로 감사를 받으십시오.

l 뉴스보기

 

Maximum Lifespan of SSL/TLS Certificates is 398 Days Starting Today (2020-09-01)

 

l 오늘부터 새 TLS 인증서의 수명은 이전 최대 인증서 수명인 27개월 (825일)에서 1년이 조금 넘는 398일로 제한됩니다.

l 인증서 수명 제한은 피싱 및 맬웨어 공격을 수행하기 위해 손상된 인증서나 가짜인증서를 악용 할 수 있는 기간을 줄이므로 보안을 강화하기 위해 Apple, Google 및 Mozilla는 만료되는 각 웹 브라우저에서 공개적으로 루팅 된 디지털 인증서를 거부하도록 설정되었습니다.

l 개발자와 사이트 소유자의 경우 Let's Encrypt 및 EFF의 CertBot과 같은 도구를 사용하여 인증서 자동화를 구현하기에 좋은 시기입니다. 이 도구는 수동 개입 없이 SSL 인증서를 쉽게 설정, 발급, 갱신 및 교체할 수 있는 방법을 제공합니다.

l 뉴스보기

 

 

KISA보안공지

 

 

WordPress File Manager 플러그인 보안 업데이트 권고 (2020-09-04)

Cisco 제품 취약점 보안 업데이트 권고 (2020-09-03)

 

 

 

기타 동향

 

안전한 가명정보 활용을 위한 ‘가명정보 처리 가이드라인’ 나왔다 (2020-09-02)

l 개인정보보호위원회, ‘가명정보 처리 가이드라인(가명처리편)’ 공개.

l 개인정보처리자는 개인정보 처리의 기본원칙을 준수하는 범위 내에서 가명처리의 전 과정을 진행해야.

l 보호위는 이번에 마련된 가명처리편에 이어 ‘가명정보의 결합·반출편’도 마련할 계획.

l 뉴스보기

 

러시아 해커 포럼에 미국 유권자 개인정보 무료로 공개돼 (2020-09-02)

l 러시아 해커 포럼에서 미국 유권자 정보 대량으로 나옴.

l 수천만 건에 달하는 개인정보가 무료로 공개됐다고 러시아 일간지가 보도.

l 일부 공격자들은 미국 국무부 보상 프로그램 통해 돈까지 받아냈다고 자랑 중.

l 뉴스보기

 

국내 주요 정보보안 기업 매출 분석, 2020년 상반기 누가 잘했나 (2020-08-31)

l 2020년 상반기 보안기업 매출 TOP 5... SK인포섹, 안랩, 시큐아이, 윈스, 이글루시큐리티 순.

l 상장 보안기업 21곳 중 14개 기업, 올해 상반기 별도기준 매출이 2019년 상반기보다 올라.

l 뉴스보기