'2017/01'에 해당되는 글 7건

  1. 2017.01.31 Apple(iTunes, Safari, iCloud, Mac OS Sierra, iOS, tvOS, watchOS, GarageBand, Logic Pro X) 보안 업데이트
  2. 2017.01.21 Adobe Flash Player 신규 취약점 보안 업데이트
  3. 2017.01.20 MS 1월 보안 위협에 따른 정기 보안 업데이트
2017.01.31 19:23

Apple(iTunes, Safari, iCloud, Mac OS Sierra, iOS, tvOS, watchOS, GarageBand, Logic Pro X) 보안 업데이트

□ 개요
  o Apple社에서 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지
  o 공격자가 취약점을 이용하여 피해를 발생시킬 수 있어 해당 Apple 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
 
□ 내용
  o iTunes의 Webkit에서 발생하는 임의 코드 실행 취약점(CVE-2017-2354) 외 3건
  o Safari의 주소 표시줄 스푸핑 취약점(CVE-2017-2359) 외 11건
  o iCloud의 Webkit에서 발생하는 임의 코드 실행 취약점(CVE-2017-2355) 외 3건
  o MacOS의 Bluetooth에서 발생하는 커널 권한의 임의 코드 실행 취약점(CVE-2017-2353) 외 10건
  o iOS의 커널에서 발생하는 임의 코드 실행 취약점(CVE-2017-2370) 외 17건
  o tvOS의 커널에서 임의 코드 실행을 가능하게 하는 Use-After-Free 취약점(CVE-2017-2360) 외 11건
  o watchOS의 CoreGraphics에서 발생하는 Null 포인터 역참조 취약점(CVE-2017-7627) 외 32건
  o GarageBand 및 Logic Pro X에서 GarageBand 프로젝트 실행 시 발생하는 임의 코드 실행 취약점(CVE-2017-2372)
 
□ 영향을 받는 제품 및 버전
  o iTunes for Windows
    - iTunes 12.5.5 미만 버전 [1]
  o Safari
    - Safari 10.0.3 미만 버전 [2]
  o iCloud for Windows
    - iClod for Windows 6.11 미만 버전 [3]
  o MacOS
    - MacOS Sierra 10.12.3 미만 버전 [4]
  o iOS
    - iOS 10.2.1 미만 버전 [5]
  o tvOS
    - tvOS 10.1.1 미만 버전 [6]
  o watchOS
    - watchOS 3.1.3 미만 버전 [7]
  o GarageBand
    - GarageBand 10.1.5 미만 버전 [8]
  o Logic Pro X
    - Logic Pro X 10.3 미만 버전 [9]
 
□ 해결 방안
  o iTunes 사용자
    - 홈페이지 직접 설치 : http://support.apple.com/downloads/ 링크에서 해당 버전을 다운로드하여 업데이트 진행
    - 맥 앱스토어 이용 : 애플 메뉴에서 [소프트웨어 업데이트] 선택
  o MacOS, Safari 사용자
    - 홈페이지 직접 설치 : http://support.apple.com/downloads/ 링크에서 해당 버전을 다운로드하여 업데이트 진행
    - 맥 앱스토어 이용 : 애플 메뉴에서 [소프트웨어 업데이트] 선택
  o iOS 사용자
    - [설정] → [일반] → [소프트웨어 업데이트] → [다운로드 및 설치] → [동의] 선택하여 업데이트
  o tvOS 사용자
    - 직접 설치 : Apple TV에서 [설정] → [시스템] → [소프트웨어 업데이트] → [소프트웨어 업데이트하기] 선택
    - 자동 업데이트 설정 : [설정] → [시스템] → [소프트웨어 업데이트] 탭으로 이동하여 [자동 업데이트] 설정
 
□ 용어 정리
  o Null 포인터 역참조 취약점 : Null 포인터에 어떠한 값을 대입하려고 할 때 발생하는 취약점
 
□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
  [1] https://support.apple.com/en-us/HT207486
  [2] https://support.apple.com/ko-kr/HT207484
  [3] https://support.apple.com/ko-kr/HT207481
  [4] https://support.apple.com/ko-kr/HT207483
  [5] https://support.apple.com/ko-kr/HT207482
  [6] https://support.apple.com/ko-kr/HT207485
  [7] https://support.apple.com/ko-kr/HT207487
  [8] https://support.apple.com/en-us/HT207477
  [9] https://support.apple.com/en-us/HT207476

저작자 표시 비영리 변경 금지
신고

Trackback 0 Comment 0
2017.01.21 15:30

Adobe Flash Player 신규 취약점 보안 업데이트

□ 개요
 o Adobe社는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표 [1]
 o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트 권고

□ 설명
 o 정보 노출로 이어질 수 있는 인증 우회 취약점(CVE-2017-2938)
 o 임의 코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2017-2932, CVE-2017-2936, CVE-2017-2937)
 o 임의 코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2017-2927, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935)
 o 임의 코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2017-2925, CVE-2017-2926, CVE-2017-2928, CVE-2017-2930,
    CVE-2017-2931)
 
□ 영향을 받는 제품 및 버전
 o Adobe Flash Player

소프트웨어 명동작환경영향 받는 버전
Adobe Flash Player
Desktop Runtime
윈도우즈, 맥, Linux24.0.0.186 및 이전 버전
Adobe Flash Player
for Google Chrome
윈도우즈, 맥, Linux, Chrome OS24.0.0.186 및 이전 버전
Adobe Flash Player
for Microsoft Edge and
Internet Explorer 11
Windows 10, 8.124.0.0.186 및 이전 버전

 
□ 해결 방안
 o Adobe Flash Player 사용자
  - 윈도우즈, 맥, Linux 환경의 Adobe Flash Player Desktop Runtime 사용자는 24.0.0.194 버전으로 업데이트 적용
     ※ Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동
         업데이트를 이용하여 업그레이드
  - Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
  - Windows 10 및 Windows 8.1에서 Microsoft Edge, 인터넷 익스플로러 11에 Adobe Flash Player를 설치한 사용자는 자동으로 최신
     업데이트가 적용
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb17-02.html

저작자 표시 비영리 변경 금지
신고

Trackback 0 Comment 0
2017.01.20 19:51

MS 1월 보안 위협에 따른 정기 보안 업데이트

□ 1월 보안업데이트 개요(총 4종)
 
o 발표일 : 2017.1.11.(수)
o 등급 : 긴급(Critical) 1종, 중요(Important) 3종
o 업데이트 내용

패치번호KB번호중요도발생 위치영향
MS17-001KB3214288중요Windows, Edge권한 상승
MS17-002KB3214291중요Office, Office Services, Web Apps원격코드 실행
MS17-003KB3214628긴급Windows, Adobe Flash Player원격코드 실행
MS17-004KB3216771중요Windows서비스 거부



[MS17-001] Microsoft Edge용 누적 보안 업데이트
 
□ 설명
o 이용자가 Microsoft Edge를 이용하여 특수하게 제작된 악성 웹페이지를 방문하는 경우, 권한 상승을 허용하는 취약점
 
o 관련취약점 :
- 권한 상승 취약점(CVE-2017-0002)
 
o 영향 : 권한 상승
 
o 중요도 : 중요
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://technet.microsoft.com/ko-kr/library/security/MS17-001
- 영문 : https://technet.microsoft.com/en-us/library/security/MS17-001
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[MS17-002] Microsoft Office용 보안 업데이트
 
□ 설명
o 이용자가 특수 제작된 악성 Office 파일을 열람하는 경우, 원격 코드 실행을 허용할 수 있는 취약점
 
o 관련취약점 :
- 메모리 손상 취약점(CVE-2017-0003)
 
o 영향 : 원격코드 실행
 
o 중요도 : 중요
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://technet.microsoft.com/ko-kr/library/security/MS17-002
- 영문 : https://technet.microsoft.com/en-us/library/security/MS17-002
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[MS17-003] Adobe Flash Player용 보안 업데이트
 
□ 설명
o 지원되는 모든 버전의 Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 및
   Windows Server 2016에 설치된 Adobe Flash Player의 취약점을 해결
 
o 관련취약점 :
- Adobe 보안 업데이트 APSB17-02에 설명된 취약점
 
o 영향 : 원격코드 실행
 
o 중요도 : 긴급
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://technet.microsoft.com/ko-kr/library/security/MS17-003
- 영문 : https://technet.microsoft.com/en-us/library/security/MS17-003
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용
 
 
[MS17-004] 로컬 보안 기관 하위 시스템 서비스의 보안 업데이트
 
□ 설명
o 공격자가 특수 제작된 인증 요청을 통해 공격에 성공하면 시스템이 자동으로 재부팅 하게 되어 서비스의 거부가 발생하는 취약점
 
o 관련취약점 :
- 서비스 거부 취약점(CVE-2017-0004)
 
o 영향 : 서비스 거부
 
o 중요도 : 중요
 
□ 영향 받는 소프트웨어
o 참고사이트
- 한글 : https://technet.microsoft.com/ko-kr/library/security/MS17-004
- 영문 : https://technet.microsoft.com/en-us/library/security/MS17-004
 
□ 해결책
o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용

저작자 표시 비영리 변경 금지
신고

Trackback 0 Comment 0