2022년 12월 2주차 보안소식
[보안공지]
※ 출처 : C-TAS 공지사항
■ Grafana 제품 보안 업데이트 권고
① 개요
- Grafana Labs는 자사 제품의 취약점을 해결한 보안 업데이트 공지
- 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고
② 설명
- Grafana의 Grafana Alerting에서 발생하는 Stored XSS 취약점 (CVE-2022-31097)
③ 영향을 받는 버전 및 해결버전
- 제품명 : Grafana
- 영향 받는 버전 : 9.1.0-beta1 ~ 9.3.0-beta1
- 해결버전 : 9.3.0[2]/9.2.7[3]
■ 구글 Chrome 브라우저 보안 업데이트 권고
① 개요
- 구글社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표
- 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고
② 설명
- 크롬 브라우저의 V8엔진에서 발생하는 Type Confusion 취약점 (CVE-2022-4174)
- 크롬 브라우저의 카메라 캡쳐에서 발생하는 Use-after-free 취약점 (CVE-2022-4175)
- 크롬 브라우저의 Lacros 그래픽 아키텍처에서 발생하는 범위를 벗어난 쓰기 취약점 (CVE-2022-4176)
- 크롬 브라우저의 확장 프로그램에서 발생하는 Use-after-free 취약점 (CVE-2022-4177)
- 크롬 브라우저의 Mojo에서 발생하는 Use-after-free 취약점 (CVE-2022-4178) 등 2개
- 크롬 브라우저의 Audio에서 발생하는 Use-after-free 취약점 (CVE-2022-4179)
- 크롬 브라우저의 Forms에서 발생하는 Use-after-free 취약점 (CVE-2022-4181)
- 크롬 브라우저의 Fenced Frames에서 발생하는 부적절한 구현 취약점 (CVE-2022-4182)
- 크롬 브라우저의 Popup Blocker에서 발생하는 불충분한 정책 집행 취약점 (CVE-2022-4183)
- 크롬 브라우저의 Autofill에서 발생하는 불충분한 정책 집행 취약점 (CVE-2022-4184)
- 크롬 브라우저의 Navigation에서 발생하는 부적절한 구현 취약점 (CVE-2022-4185)
- 크롬 브라우저의 다운로드 창에서 발생하는 신뢰할 수 없는 입력에 대한 불충분한 검증 취약점 (CVE-2022-4186)
- 크롬 브라우저의 개발자 도구에서 발생하는 불충분한 정책 집행 취약점 (CVE-2022-4187) 등 2개
- 크롬 브라우저의 CORS에서 발생하는 신뢰할 수 없는 입력에 대한 불충분한 검증 취약점 (CVE-2022-4188)
- 크롬 브라우저의 디렉토리에서 발생하는 불충분한 데이터 검증 취약점 (CVE-2022-4190)
- 크롬 브라우저에 Sign-In 하는 과정에서 발생하는 Use-after-free 취약점 (CVE-2022-4191)
- 크롬 브라우저의 LiveCaption에서 발생하는 Use-after-free 취약점 (CVE-2022-4192)
- 크롬 브라우저 파일 시스템 API에서 발생하는 불충분한 정책 집행 취약점
- 크롬 브라우저의 접근성에서 발생하는 Use-after-free 취약점 (CVE-2022-4194)
- 크롬 브라우저의 세이프 브라우징에서 발생하는 불충분한 정책 집행 취약점 (CVE-2022-4195)
③ 영향을 받는 버전 및 해결버전
- 제품명 : Chrome
- 영향 받는 버전 : 108 이전 버전
- 해결버전 : 108.0.5359.71/72 (Windows) / 108.0.5359.71 (Mac, Linux)
[보안뉴스]
※ 출처 : IBM Security Community (한국 사이버보안 사용자 그룹)
○ "준정부기관 사칭 피싱메일 유포 주의보"
- 비영리 정부 기관을 사칭한 피싱 메일이 유포되고 있어 주의가 요구된다..
○ "IT 위장 취업 주의보까지.. 수위 넘은 북 사이버 위협"
- 북한 정보기술 노동자들이 국적과 신분을 속여 국내 기업에서 일감을 수주할 수 있따고 정부가 관계기관 합동주의보를 발령했다.
○ "해킹 용병단, 새로운 멀웨어 들고 여행사와 금융 기관들 노려"
- 해킹 공격을 대신해 주는 것으로 유명한 그룹...여행사와 금융사 다시 대거 노리기 시작
○ "정보 유출·보이스피싱 막아라... 보안 강화 나서는 핀테크 업계
- 핀테크 업체들이 보이스피싱, 고객 정보 유출 등 각종 금융 범죄를 예방하기 위한 보안 역량 강화에 나서고 있다.