'Google Chrome'에 해당되는 글 59건





지난 15일에 업데이트 된 구글 크롬 42버전에서 "NPAPI 플러그인" 이 해제되어 있는 것을 확인되었다.


※ NPAPI란?

'넷스케이프 플러그인 API'의 약자다. 

사파리, 오페라, 크롬, 파이어폭스 등 주요 PC용 브라우저에서 플러그인 프로그램 기능을 설치, 실행할 수 있게 해주는 기술이다. 인터넷익스플로러(IE)의 '액티브X'같은 역할을 한다. 


by ZDnet


이미 구글에서는 2013년 9월달 부터 NPAPI를 단계적으로 제거 한다고 발표를 했다고 하는데 기억은 잘 안남;;

이에 따라 오는 2015년 9월에 출시할 45버전에서는 아예 NPAPI를 영구적으로 제거한다고 한다.

(이에 가장 큰 문제가 오픈뱅킹이 아닐까 싶다 ㅋㅋㅋ)



■ 관련 기사



처음에는 몰랐는데, Pig Toolbox 확장프로그램을 통해 크롬의 탭을 더블클릭하면 탭이 닫혔는데 그 기능이 되지 않았다.

이것 저것 찾아보다 보니 원인을 알게 되었다.




그래서 Pig Toolbox 의 옵션에 들어갔더니 아래와 같은 문구가 상단에 있었다.


"Pig Toolbox 윈도우용 NPAPI 플러그인 로딩에 실패했습니다. 윈도우 전용 기능들이 작동하지 않습니다"




이런 제길??

그럼 어떻게 해야하지? 라고 생각했을 때 벌새님의 블로그에 해당 내용이 올라왔다.


[울지않는벌새] Google Chrome 42 버전 업데이트 후 NPAPI 플러그인 활성화 방법



블로그 내용에 따라 크롬 주소창에 "chrome://flags/" 또는 "chrome://flags/#enable-npapi" 를 입력 한 후 

npapi 플러그인을 활성화 시키면 된다.





NPAPI 플러그인을 활성화 한 후 브라우저 재시작을 하면 Pig Toolbox 옵션이 예전처럼 정상으로 돌아 온 것을 알 수 있다.


그리고 탭 더블 클릭으로 닫히는것도 잘 되고 있다^^




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2015년 4월 정기 보안 업데이트가 발표 되었습니다.


이번 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft Server 소프트웨어, 생산성 소프트웨어, 

Microsoft .NET Framework 제품군에서 발견된 보안취약점(26건)을 해결한 11건의 보안 패치(긴급4, 중요7)로 이루어져 

있습니다.




※ 최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS15-032 (긴급) : Internet Explorer용 누적 보안 업데이트(3038314)

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- Internet Explorer의 여러 메모리 손상 취약성:

  CVE-2015-1652,CVE-2015-1657, CVE-2015-1659, CVE-2015-1660, CVE-2015-1662, CVE-2015-1665, CVE-2015-1666, CVE-2015-1667, CVE-2015-1668

- Internet Explorer ASLR 우회 취약성(CVE-2015-1661)


2. MS15-033 (긴급) : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3048019)

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- Microsoft Office 메모리 손상 취약성(CVE-2015-1641)

- 여러 Microsoft Office 구성 요소 해제 후 사용 취약성:

  CVE-2015-1650, CVE-2015-1649, CVE-2015-1651

- Microsoft Outlook App for Mac XSS 취약성(CVE-2015-1639)


3. MS15-034 (긴급) : HTTP.sys의 취약성으로 인한 원격 코드 실행 문제(3042553)

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 공격자가 영향 받는 Windows 시스템에 특수 제작된 HTTP 요청을 보낼 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다.

- HTTP.sys 원격 코드 실행 취약성(CVE-2015-1635)


4. MS15-035 (긴급) : Microsoft 그래픽 구성 요소의 취약성으로 인한 원격 코드 실행 문제(3046306)

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 공격자가 사용자에게 특수 제작된 웹 사이트로 이동하거나, 특수 제작된 파일을 열거나, 특수 제작된 EMF(확장 메타파일) 이미지 파일이 포함된 작업 디렉터리로 이동하도록 유도할 경우 이 취약성으로 인해 원격 코드 실행이 허용 될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 작업을 수행하도록 만들 수 없습니다. 공격자는 일반적으로 전자 메일이나 인스턴트 메신저 메시지에서 유인물을 이용하여 이러한 작업을 수행하도록 사용자를 유도해야 합니다.

- EMF 처리 원격 코드 실행 취약성(CVE-2015-1645)


5. MS15-036 (중요) : Microsoft SharePoint Server의 취약성으로 인한 권한 상승 문제(3052044)

이 보안 업데이트는 Microsoft Office 서버 및 생산성 소프트웨어의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 영향받은 SharePoint 서버에 특수 제작된 요청을 보내는 경우 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 읽도록 허가되지 않은 콘텐츠를 읽고, 희생자의 ID를 사용해서 희생자 대신 SharePoint 사이트에서 사용 권한 변경 및 콘텐츠 삭제와 같은 작업을 수행하고, 희생자의 브라우저에 악성 콘텐츠를 삽입할 수 있습니다.

- 여러 SharePoint XSS 취약성:

  CVE-2015-1640, CVE-2015-1653


6. MS15-037 (중요) : Windows 작업 스케줄러의 취약성으로 인한 권한 상승 문제(3046269)

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 이 취약성 악용에 성공한 공격자는 알려진 잘못된 작업을 활용하여 작업 스케줄러가 특수 제작된 응용 프로그램을 시스템 계정의 컨텍스트에서 실행되도록 할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니 라 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

- 작업 스케줄러 권한 상승 취약성(CVE-2015-0098)


7. MS15-038 (중요) : Microsoft Windows의 취약성으로 인한 권한 상승 문제(3049576)

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성을 악용하려면 공격자가 먼저 시스템에 로그온 해야 합니다.

- NtCreateTransactionManager 유형 혼동 취약성(CVE-2015-1643)

- Windows MS-DOS 장치 이름 취약성(CVE-2015-1644)


8. MS15-039 (중요) : XML Core Services의 취약성으로 인한 보안 기능 우회 문제(3046482)

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 파일을 여는 경우 보안 기능 우회가 허용될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 특수 제작된 파일을 열도록 만들 수 없습니다. 공격자는 일반적으로 전자 메일이나 인스턴트 메신저 메시지에서 유인물을 이용하여 이 파일을 열도록 사용자를 유도해야 합니다.

- MSXML3 동일 원본 정책 SFB 취약성(CVE-2015-1646)


9. MS15-040 (중요) : Active Directory Federation Services의 취약성으로 인한 정보 유출 문제(3045711)

이 보안 업데이트는 AD FS(Active Directory Federation Services)의 취약성을 해결합니다. 사용자가 응용 프로그램에서 로그 오프 한 후 브라우저를 열어두고, 공격자가 사용자가 로그 오프 한 직후 이 브라우저에서 해당 응용 프로그램을 다시 여는 경우 이 취약성으로 인해 정보가 유출될 수 있습니다.

- Windows Server 2012 R2에 설치된 경우 AD FS 3.0


10. MS15-041 (중요) : .NET Framework의 취약성으로 인한 정보 유출 문제(3048010)

이 보안 업데이트는 Microsoft .NET Framework의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 사용자 지정 오류 메시지가 사용되지 않는 영향받는 서버에 특수 제작된 웹 요청을 보내는 경우 정보가 유출될 수 있습니다. 이 취약성 악용에 성공한 공격자는 중요한 정보를 노출할 수 있는 웹 구성 파일의 일부를 볼 수 있습니다.

- ASP.NET 정보 유출 취약성(CVE-2015-1648)


11. MS15-042 (중요) : Windows Hyper-V의 취약성으로 인한 서비스 거부 문제(3047234)

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 이 취약성으로 인해 인증된 공격자가 특수 제작된 응용 프로그램을 VM(가상 컴퓨터) 세션에서 실행하는 경우 서비스 거부가 허용될 수 있습니다. 서비스 거부는 공격자가 Hyper-V 호스트에서 실행되는 다른 VM에서 코드를 실행하거나 사용자 권한을 상승시키도록 허용하지 않지만, 호스트의 다른 VM을 Virtual Machine Manager에서 관리 가능하지 않게 만들 수 있습니다.

- Windows Hyper-V DoS 취약성(CVE-2015-1647)





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.





Google Chrome 브라우저가 42.0.2311.90 정식 버전으로 업데이트 되었습니다.


이번 42버전에서는 보안취약점도 보안 되었고, 안정화와 새로운 앱이 추가 되었습니다.

- A number of new apps, extension and Web Platform APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)

- The answer to life, the universe and everything (42퍼즐에 대한 구글 이스터에그??)


※ The answer to life, the universe and everything 이 내용은 정확히 어떤걸 말하는지 잘 모르겠다.

   "은하수를 여행하는 히치하이커를 위한 안내서" 에 나오는 퍼즐이라는데 이해를 잘 못하겠음 ㅠㅠ

   아시는 분은 댓글로 설명 좀 ㅋ 이게 왜 구글 크롬 업데이트 내용에 있는건지!!!



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 13건의 High 등급,  6건의 Medium 등급 등 총 51건의 보안 취약점이 업데이트 되었네요.

- Google Chrome 42.0.2311.90 패치 내용

■ High CVE-2015-1235 : Cross-origin-bypass in HTML parser

■ Medium CVE-2015-1236 : Cross-origin-bypass in Blink

■ High CVE-2015-1237 : Use-after-free in IPC

■ High CVE-2015-1238 : Out-of-bounds write in Skia

■ Medium CVE-2015-1240 : Out-of-bounds read in WebGL

■ Medium CVE-2015-1241: Tap-Jacking

■ High CVE-2015-1242 : Type confusion in V8

■ Medium CVE-2015-1244 : HSTS bypass in WebSockets

■ Medium CVE-2015-1245 : Use-after-free in PDFium

■ Medium CVE-2015-1246 : Out-of-bounds read in Blink

■ Medium CVE-2015-1247 : Scheme issues in OpenSearch

■ Medium CVE-2015-1248 : SafeBrowsing bypass


- 내부 보안 취약점 패치 내용

■ CVE-2015-1249 : Various fixes from internal audits, fuzzing and other initiatives.

                      Multiple vulnerabilities in V8 fixed at the tip of the 4.2 branch (currently 4.2.77.14).



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.





Google Chrome 브라우저가 41.0.2272.76 정식 버전으로 업데이트 되었습니다.


이번 41버전에서는 보안취약점도 보안 되었고, 새로운 기능보다는 안정화와 새로운 앱이 추가 되었습니다.

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 13건의 High 등급,  6건의 Medium 등급 등 총 51건의 보안 취약점이 업데이트 되었네요.

- Google Chrome 41.0.2272.76 패치 내용

■ High CVE-2015-1232 : Out-of-bounds write in media

■ High CVE-2015-1213 : Out-of-bounds write in skia filters

■ High CVE-2015-1214 : Out-of-bounds write in skia filters

■ High CVE-2015-1215 : Out-of-bounds write in skia filters

■ High CVE-2015-1216 : Use-after-free in v8 bindings

■ High CVE-2015-1217 : Type confusion in v8 bindings

■ High CVE-2015-1218 : Use-after-free in dom

■ High CVE-2015-1219 : Integer overflow in webgl

■ High CVE-2015-1220 : Use-after-free in gif decoder

■ High CVE-2015-1221 : Use-after-free in web databases

■ High CVE-2015-1222 : Use-after-free in service workers

■ High CVE-2015-1223 : Use-after-free in dom

■ High CVE-2015-1230 : Type confusion in v8

■ Medium CVE-2015-1224 : Out-of-bounds read in vpxdecoder

■ Medium CVE-2015-1225 : Out-of-bounds read in pdfium

■ Medium CVE-2015-1226 : Validation issue in debugger

■ Medium CVE-2015-1227 : Uninitialized value in blink

■ Medium CVE-2015-1228 : Uninitialized value in rendering

■ Medium CVE-2015-1229 : Cookie injection via proxies


- 내부 보안 취약점 패치 내용

■ CVE-2015-1231 : Various fixes from internal audits, fuzzing and other initiatives.

                      Multiple vulnerabilities in V8 fixed at the tip of the 4.1 branch (currently 4.1.0.21).



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


(※ 11월 19일 39버전이 정식으로 업데이트 되었지만, 이후 마이너 업데이트가 1회 있어서 39.0.2171.71이 최신이다)


Google Chrome 브라우저가 39.0.2171.65 정식 버전으로 업데이트 되었습니다.


이번 39버전에서는 보안취약점도 보안 되었지만, 기능적인 부분도 추가 되었습니다.

- 64-bit support for Mac (64Bit Mac OS 지원)

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 11건의 High 등급,  1건의 Medium 등급 등 총 42건의 보안 취약점이 업데이트 되었네요.

- Google Chrome 39.0.2171.65 패치 내용

■ High CVE-2014-7899 : Address bar spoofing

■ High CVE-2014-7900 : Use-after-free in pdfium

■ High CVE-2014-7901 : Integer overflow in pdfium

■ High CVE-2014-7902 : Use-after-free in pdfium

■ High CVE-2014-7903 : Buffer overflow in pdfium

■ High CVE-2014-7904 : Buffer overflow in Skia

■ High CVE-2014-7905 : Flaw allowing navigation to intents that do not have the BROWSABLE category

■ High CVE-2014-7906 : Use-after-free in pepper plugins

■ High CVE-2014-0574 : Double-free in Flash

■ High CVE-2014-7907 : Use-after-free in blink

■ High CVE-2014-7908 : Integer overflow in media

■ Medium CVE-2014-7909 : Uninitialized memory read in Skia


- 내부 보안 취약점 패치 내용

■ CVE-2014-7910 : Various fixes from internal audits, fuzzing and other initiatives



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.



Google Chrome 브라우저가 38.0.2125.101 정식 버전으로 업데이트 되었습니다.


이번 38버전에서는 보안취약점도 보안 되었지만, 기능적인 부분도 추가 되었습니다.

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 1건의 Critical 등급, 6건의 High 등급,  4건의 Medium 등급, 1건의 Low 등급 등 총 159건의 보안 취약점이 

업데이트 되었네요.

- Google Chrome 38.0.2125.101 패치 내용

■ Critical CVE-2014-3188 : A special thanks to Juri Aedla for a combination of V8 and IPC bugs that can lead to remote code execution outside of the sandbox. 

■ High CVE-2014-3189 : Out-of-bounds read in PDFium

■ High CVE-2014-3190 : Use-after-free in Events

■ High CVE-2014-3191 : Use-after-free in Rendering

■ High CVE-2014-3192 : Use-after-free in DOM

■ High CVE-2014-3193 : Type confusion in Session Management

■ High CVE-2014-3194 : Use-after-free in Web Workers

■ Medium CVE-2014-3195 : Information Leak in V8

■ Medium CVE-2014-3196 : Permissions bypass in Windows Sandbox

■ Medium CVE-2014-3197 : Information Leak in XSS Auditor

■ Medium CVE-2014-3198 : Out-of-bounds read in PDFium

■ Low CVE-2014-3199 : Release Assert in V8 bindings


- 내부 보안 취약점 패치 내용

■ CVE-2014-3200: Various fixes from internal audits, fuzzing and other initiatives (Chrome 38)



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 37.0.2062.94 정식 버전으로 업데이트 되었습니다.

이번 37버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가 되었습니다.


- DirectWrite support on Windows for improved font rendering (윈도우 폰트 랜더링 향상을 위한 DirectWrite 지원)

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 2건의 Critical 등급, 4건의 High 등급,  3건의 Medium 등급 등 총 50건의 보안 취약점이 업데이트 되었네요.

 Google Chrome 37.0.2062.94 패치 내용

- Critical CVE-2014-3176, CVE-2014-3177 : A special reward to lokihardt@asrt for a combination of bugs in V8, IPC, sync, and extensions that can lead to remote code execution outside of the sandbox

- High CVE-2014-3168 : Use-after-free in SVG

- High CVE-2014-3169 : Use-after-free in DOM

- High CVE-2014-3170 : Extension permission dialog spoofing

- High CVE-2014-3171 : Use-after-free in bindings

- Medium CVE-2014-3172 : Issue related to extension debugging

- Medium CVE-2014-3173 : Uninitialized memory read in WebGL

- Medium CVE-2014-3174 : Uninitialized memory read in Web Audio



 내부 보안 취약점 패치 내용

- CVE-2014-3175 : Various fixes from internal audits, fuzzing and other initiatives (Chrome 37)



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가 36.0.1985.143 버전으로 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 2건의 High 등급 등 총 12건의 보안 취약점과

자체 내장 된 Adobe Flash Player 14.0.0.177 버전이 업데이트 되었네요.

- Google Chrome 36.0.1985.143 패치 내용

■ High CVE-2014-3165 : Use-after-free in web sockets

■ High CVE-2014-3166 : Information disclosure in SPDY


- 내부 보안 취약점 패치 내용

■ CVE-2014-3167 : Various fixes from internal audits, fuzzing and other initiatives.



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 36.0.1985.125  정식 버전으로 업데이트 되었습니다.


이번 36버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가 된 것으로 보입니다.

  • Rich Notifications Improvements (리치 알림 개선)
  • An Updated Incognito / Guest NTP design (게스트 / 익명 NTP 디자인 업데이트)
  • The addition of a Browser crash recovery bubble (브라우저 충돌 복구 기능 추가)
  • Chrome App Launcher for Linux  (리눅스용 크롬 앱 런처)
  • Lots of under the hood changes for stability and performance (안전성과 성능 변화)


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 1건의 Meduum 등급 등 총 26건의 보안 취약점이 패치되었네요

 Google Chrome 36.0.1985.125패치 내용

Medium CVE-2014-3160 : Same-Origin-Policy bypass in SVG


 내부 보안 취약점 패치 내용

-  CVE-2014-3162 : Various fixes from internal audits, fuzzing and other initiatives



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 7월 보안 업데이트가 발표 되었습니다.


이번 업데이트에는 Microsoft Windows, Internet Explorer 제품군에서 발견된 보안취약점(27건)을 

해결한 6의 보안 패치(긴급2, 중요3, 보통1)3건의 보안권고(개정3)로 이루어져 있습니다.


이번 업데이트에 포함 된 보안 권고 3건의 정보는 아래와 같습니다.

■ 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트

요약 : 
지원 대상인 모든 Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1 에디션의 Internet Explorer에서 Adobe Flash Player에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. 이 업데이트는 Internet Explorer 10 및 Internet Explorer 11 내에 포함된 영향을 받는 Adobe Flash 라이브러리를 업데이트하여 Adobe Flash Player의 취약점을 해결합니다.
Microsoft는 2014년 7월 9일(한국시각) Windows 8, Windows Server 2012 및 Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1의 Internet Explorer 11에 대한 업데이트(2974008)를 발표했습니다. 이 업데이트는 Adobe 보안 게시물 APSB14-17에 설명된 취약점을 해결합니다. 다운로드 링크를 포함하여 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 2974008를 참조하십시오.



■ 보안 권고 2871997 자격 증명 보호 및 관리 방법 개선을 위한 업데이트

요약 :
Microsoft는 자격 증명 보호 및 인증 제어를 강화하고 자격 증명 도난을 줄이기 위해 지원 대상인 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 에디션에 대해 업데이트를 사용할 수 있게 되었음을 알려드립니다.
2014년 7월 9일(한국시각) Microsoft는 지원 대상인 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT 에디션과, 2919355(Windows 8.1 업데이트) 업데이트를 설치한 지원 대상인 Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 에디션에 대해 2973351 업데이트를 릴리스했습니다. Microsoft는 2919355(Windows 8.1 업데이트) 업데이트를 설치하지 않은 지원 대상인 Windows 8.1, Windows Server 2012 R2 에디션에 대해 2975625 업데이트를 릴리스했습니다. 업데이트는 구성 가능한 레지스트리 설정을 제공하므로 CredSSP(Credential Security Support Provider)에 대한 제한된 관리 모드를 관리할 수 있습니다. 다운로드 링크를 포함하여 이 업데이트에 대한 자세한 내용은 Microsoft 기술 자료 문서 2973351을 참조하십시오.

참고. 이 업데이트는 Windows 8.1, Windows Server 2012 R2, Windows RT 8.1에 대한 기본 제한된 관리 모드 기능을 변경합니다. 자세한 내용은 권고 FAQ 섹션을 확인하십시오.



■ 보안 권고 2960358 .NET TLS의 RC4 비활성화 업데이트

요약 :
시스템 레지스트리의 수정을 통해 TLS(전송 계층 보안)에서 RC4를 사용하지 않도록 설정하는 Microsoft .NET Framework에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. TLS에서 RC4를 사용하면 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행하고 암호화된 세션에서 일반 텍스트를 복구할 수 있습니다.
2014년 7월 9일(한국시각) 2868725 필수 업데이트 설치가 필요한 업데이트에 대한 Microsoft Update 카탈로그 검색 변경 사항을 알리고자 권고가 개정되었습니다. 이 변경 사항은 검색에만 해당됩니다. 이미 시스템을 성공적으로 업데이트한 고객은 추가 조치를 취할 필요가 없습니다


최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS14-037 (긴급) : Internet Explorer 누적 보안 업데이트(2975687)

이 보안 업데이트는 Internet Explorer의 공개된 취약점 1건과 비공개로 보고된 취약점 23건을 해결합니다. 

가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- EV(Extended Validation) 인증서 보안 기능 우회 취약점(CVE-2014-2783)

- Internet Explorer의 여러 메모리 손상 취약점:

  CVE-2014-1763, CVE-2014-1765, CVE-2014-2785, CVE-2014-2786, CVE-2014-2787

  CVE-2014-2788, CVE-2014-2789, CVE-2014-2790, CVE-2014-2791, CVE-2014-2792

  CVE-2014-2794, CVE-2014-2795, CVE-2014-2797, CVE-2014-2798, CVE-2014-2800

  CVE-2014-2801, CVE-2014-2802, CVE-2014-2803, CVE-2014-2804, CVE-2014-2806

  CVE-2014-2807, CVE-2014-2809, CVE-2014-2813


2. MS14-038 (긴급) : Windows Journal의 취약점으로 인한 원격 코드 실행 문제점(2975689)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

이 취약점으로 인해 사용자가 특수하게 조작된 Journal 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

- Windows Journal 원격 코드 실행 취약점(CVE-2014-1824)


3. MS14-039 (중요) : 화상 키보드의 취약점으로 인한 권한 상승 문제점(2975685)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

이 취약점으로 인해 공격자가 낮은 무결성 프로세스에서 취약점을 악용해 화상 키보드(OSK)를 실행하고 대상 시스템에 특수하게 조작된 프로그램을 업로드할 경우 권한 상승이 허용될 수 있습니다.

- 화상 키보드 권한 상승 취약점(CVE-2014-2781)


4. MS14-040 (중요) : AFD(Ancillary Function Driver)의 취약점으로 인한 권한 상승 문제점(2975684)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 

이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

- Ancillary Function Driver 권한 상승 취약점(CVE-2014-1767)


5. MS14-041 (중요) : DirectShow의 취약점으로 인한 권한 상승 문제점(2975681)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 

이 취약점으로 인해 공격자가 낮은 무결성 프로세스에서 다른 취약점을 악용한 후 이 취약점을 통해 로그온한 사용자의 컨텍스트에서 특수하게 조작된 코드를 실행할 경우 권한 상승이 허용될 수 있습니다. 기본적으로 Windows 8 및 Windows 8.1의 최신 몰입형 브라우징 환경은 향상된 보호 모드(EPM)로 실행됩니다. 예를 들어 최신 Windows 태블릿에서 터치 친화적인 Internet Explorer 11 브라우저를 사용하는 고객은 기본적으로 향상된 보호 모드를 사용합니다. 향상된 보호 모드는 64비트 시스템에서 이 취약점의 악용을 완화시키는 데 도움이 될 수 있는 고급 보안 보호를 사용합니다.

- DirectShow 권한 상승 취약점(CVE-2014-2780)


6. MS14-042 (보통) : Microsoft Service Bus의 취약점으로 인한 서비스 거부 문제점(2972621)

이 보안 업데이트는 Windows Server용 Microsoft Service Bus의 공개된 취약점 1건을 해결합니다.

이 취약점으로 인해 원격 인증된 공격자가 대상 시스템에 특수하게 조작된 AMQP(Advanced Message Queuing Protocol) 메시지 시퀀스를 보내는 프로그램을 만들어 실행할 경우 서비스 거부가 발생할 수 있습니다. Windows Server용 Microsoft Service Bus는 Microsoft 운영 체제와 함께 제공되지 않습니다. 영향을 받는 취약한 시스템의 경우 먼저 Microsoft Service Bus를 다운로드해 설치 및 구성한 후 구성 세부 정보(팜 인증서)를 다른 사용자와 공유해야 합니다.

- Service Bus 서비스 거부 취약점(CVE-2014-2814)





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 35.0.1916.153  버전으로 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 2건의 High 등급, 1건의 Meduum 등급 등 총 4건의 보안 취약점과 

자체 내장 된 Adobe Flash Player 14.0.0.125 버전이 패치되었네요

- Google Chrome 35.0.1916.153패치 내용

■ High CVE-2014-3154 : Use-after-free in filesystem api

■ High CVE-2014-3155 : Out-of-bounds read in SPDY

■ Medium CVE-2014-3156 : Buffer overflow in clipboard


- 내부 보안 취약점 패치 내용

■ CVE-2014-3157 : Heap overflow in media



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 35.0.1916.114  정식 버전으로 업데이트 되었습니다.


이번 35버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가 된 것으로 보입니다.

  • More developer control over touch input (터치입력을 통한 더 많은 개발자 통제)
  • New JavaScript features (새로운 자바스크립트 기능)
  • Unprefixed Shadow DOM (접두어를 사용하지 못하는 Shadow DOM)
  • A number of new apps/extension APIs (새로운 앱과 확장 API)
  • Lots of under the hood changes for stability and performance (안전성과 성능 변화)


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 3건의 High 등급, 3건의 Medium 등급 등 총 23개의 보안 취약점이 패치되었습니다.

- Google Chrome 35.0.1916.114 패치 내용

■ High CVE-2014-1743 : Use-after-free in styles

■ High CVE-2014-1744 : Integer overflow in audio

■ High CVE-2014-1745 : Use-after-free in SVG

■ Medium CVE-2014-1746 : Out-of-bounds read in media filters

■ Medium CVE-2014-1747 : UXSS with local MHTML file

■ Medium CVE-2014-1748 : UI spoofing with scrollbar


- 다중 보안 취약점 패치 내용

■ CVE-2014-1749 : Various fixes from internal audits, fuzzing and other initiatives

■ CVE-2014-3152 : Integer underflow in V8 fixed in version 3.25.28.16



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



티스토리와 연동되어 사용되고 있던 외부 광고 서비스인 올블릿(Allblet)에서 악성 스크립트로 인한 악성코드 유포가 지속적으로
나타남에 따라 티스토리에서는 올블릿 플러그인 서비스를 종료 하기로 공지하였다.


올블릿은 아래와 같이 플러그인 형태로 기존까지 티스토리에서 제공되었다.



올블릿 플러그인 종료 안내 (4/23)


안녕하세요. TISTORY입니다.


포스팅 내용과 연관된 광고를 노출해주는 올블릿 플러그인이 4월23일자로 종료 될 예정입니다.

올블릿 광고를 통해 중개된 일부 사이트들로 인하여, 사용 중인 블로그가 악성코드 감염 및 유포 가능성이 있는 페이지로 분류되어 많은 유저들이 이용에 어려움을 겪고 있습니다. 이에 따라 올블릿 플러그인을 종료하게 되었습니다. 서비스 이용에 어려움 없도록 자세히 읽어주시기 바랍니다. 


[올블릿 플러그인 종료]

종료 일자 : 2014년 4월 23일(수)

종료 사유 : 올블릿 플러그인 사용 시 일부 브라우저에서 악성코드 주의 페이지로 접근 차단됨

                 (관련 공지 - http://notice.tistory.com/2152)



올블릿 서비스와 관련된 문의는 올블릿 사이트를 통해 해주시기 바랍니다. ▶ 올블릿 사이트 바로가기


또한 플러그인 종료 후에도 블로그에 올블릿 광고 배너를 삽입하고자 하실 경우, 올블릿 사이트에서 발급 받은 코드를 스킨이나 본문에 입력하여 사용하실 수 있으니 참고 부탁드립니다.


앞으로 여러분들께 소개할 수 있는 새로운 기능이나 혜택 등 다양한 좋은 소식으로 찾아뵙도록 노력하겠습니다. 언제나 최선을 다하는 티스토리가 되겠습니다.


감사합니다.


※ 원본 출처 : http://notice.tistory.com/2161



실제로 올블릿(Allblet) 광고 서버를 통해 악성코드 유포는 이루어졌다.


우선 관련 된 내용에 대한 보안 블로거들의 포스팅들을 모아보았다.


□ 관련 내용


위의 내용을 보면 알겠지만, 올해 3월 중순부터 올블릿 광고 서버에서는 주말마다 꾸준히 악성코드가 유포 되었다.

(실제로는 3월 초(2014-03-08)부터 유포가 시작되었다.)


악성코드 유포는 아래 그림 같이 광고서버를 통해 유포가 되었다. 
(아래의 그림은 gif 파일로 링크가 되지 않음) 



처리의 블로그도 올블릿 광고 사용자였기 때문에 배포가 된 적이 있었다.

다행스럽게 빠르게 확인 해주신 지인분이 계셔서 신속하게 광고 서버를 뺄 수 있었다.
(보통 크롬을 사용하게 되면 구글 세이프 브라우징에 의해 차단이 가능하다) 


아래의 내용은 저번 주 주말이였던 2014년 04월 18일 ~ 19일에 사이에 유포되었던 내용이다.

hxxp://www.midiaapp.com/data/css/index.html (Dadong Exploit Kit)

hxxp://www.midiaapp.com/data/css/jpg.js (Java Deployment Toolkit)

hxxp://www.midiaapp.com/data/css/swfobject.js (Flash Deployment Toolkit)

hxxp://www.midiaapp.com/data/css/pDmrh8.jpg (Java Exploit CVE-2011-3544)

hxxp://www.midiaapp.com/data/css/zPdL6.jpg (Java Exploit CVE-2012-0507)

hxxp://www.midiaapp.com/data/css/LeLBKR7.jpg (Java Exploit CVE-2012-1723)

hxxp://www.midiaapp.com/data/css/wzGa2.jpg (Java Exploit CVE-2012-4681)

hxxp://www.midiaapp.com/data/css/ceKAo8.jpg (Java Exploit CVE-2012-5076)

hxxp://www.midiaapp.com/data/css/KhAz4.jpg  (Java Exploit CVE-2013-0422)

hxxp://www.midiaapp.com/data/css/SsvK2.jpg (Java Exploit CVE-2013-2465)

hxxp://www.midiaapp.com/data/css/SsvK2.swf (SWF Exploit CVE-2013-0634)

hxxp://www.midiaapp.com/data/css/pDmrh8.html (XML Exploit CVE-2012-1889)

hxxp://www.midiaapp.com/data/css/Uxkust2.html (XML Exploit CVE-2012-1889)

hxxp://7ygv.ycun8.com/jc/qvod.exe (Spyware.PWS.KRBanker.D)
 

* 유포지는 모두 차단되었기 때문에 모자이크처리 하지 않음



이번 티스토리의 올블릿 플러그인 종료는 아주 좋은 판단이라고 생각한다.


또한 자신이 운영 중인 블로그가 악성코드 주의 페이지로 분류되는지는 구글에서 제공하는 세이프 브라우징을 사용하여
분류 사유와 함께 확인 할 수 있다.
 

☞ 내 티스토리 블로그 진단하기 : http://www.google.com/safebrowsing/diagnostic?site=블로그 주소


그 날 이후, 올블릿 광고를 빼고 다시는 넣지 않았다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.



Google Chrome 브라우저가 34.0.1847.116  버전으로 업데이트 되었습니다.

이번 34버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가 된 것으로 보입니다.
  • Responsive Images and Unprefixed Web Audio (빠른 이미지와 웹 오디오 기능 보안)
  • Import supervised users onto new computers (관리대상 사용자 가져오기 기능)
  • A number of new apps/extension APIs (새로운 앱과 확장 API)
  • A different look for Win8 Metro mode (Win8 메트로 모드에서의 화면 변화)
  • Lots of under the hood changes for stability and performance (안전성과 성능 변화)

취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 9건의 High 등급, 3건의 Medium 등급 등 총 11건의 보안 취약점과
자체 내장 된 Adobe Flash Player 13.0.0.182 버전이 패치되었네요

- Google Chrome 33.0.1750.154 패치 내용

■ High CVE-2014-1716 : UXSS in V8
■ High CVE-2014-1717 : OOB access in V8
■ High CVE-2014-1718 : Integer overflow in compositor
■ High CVE-2014-1719 : Use-after-free in web workers
■ High CVE-2014-1720 : Use-after-free in DOM
■ High CVE-2014-1721: Memory corruption in V8
■ High CVE-2014-1722 : Use-after-free in rendering
■ High CVE-2014-1723 : Url confusion with RTL characters
■ High CVE-2014-1724 : Use-after-free in speech
■ Medium CVE-2014-1725 : OOB read with window property
■ Medium CVE-2014-1726 : Local cross-origin bypass 
■ Medium CVE-2014-1727 : Use-after-free in forms 
■ CVE-2014-1728 : Various fixes from internal audits, fuzzing and other initiatives
■ CVE-2014-1729 : Multiple vulnerabilities in V8 fixed in version 3.24.35.22


- Adobe Flash Player 13.0.0.182 패치 내용
■ CVE-2014-0506 : These updates resolve a use-after-free vulnerability that could result in arbitrary code execution
■ CVE-2014-0507 : These updates resolve a buffer overflow vulnerability that could result in arbitrary code execution
■ CVE-2014-0508 : These updates resolve a security bypass vulnerability that could lead to information disclosure
■ CVE-2014-0509 : These updates resolve a cross-site-scripting vulnerability 


크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



마이크로소프트(Microsoft)에서 매월 정기적으로 제공하는 2014년 4월 보안 업데이트가 발표 되었습니다.


3월 말에 발견된 Word RTF 문서(Rich Text Format) 0-Day 였던 원격코드 실행 취약점 (CVE-2014-1761)도 

이번 보안 업데이트에 MS14-017로 패치가 되니, 꼭 보안업데이트를 받으시길 바랍니다.



Microsoft는 제품기술지원주기에 의해 Windows XP 및 Office 2003 에 대한 지원 서비스를 2014년 4월 8일자로 종료합니다.

- Windows XP 지원 종료 안내 : http://windows.microsoft.com/ko-kr/windows/end-support-help

 

이번 보안 공지에는 Windows XP에 대한 마지막 보안 업데이트인 MS14-018(2950467) 과 MS14-019(2922229)과 
Office 2003 중 Word 2003의 마지막 보안 업데이트인 MS14-017(2949660)을 포함합니다.


Windows XP 와 Office 2003의 서비스 종료로 신규 보안 업데이트는 더이상 지원되지 않으며, 
이전에 발표된 모든 업데이트는 마이크로소프트 다운로드 사이트 및 윈도우 업데이트등을 통해 계속 사용할 수 있습니다.


※ 4월 8일 날짜로 
Windows XP의 보안 업데이트가 마지막 지원을 하게 됩니다.



이번 업데이트에는 Microsoft Windows, Microsoft Office, Internet Explorer 제품군에서 발견된 보안취약점(11건)을
해결한 보안 패치(4건)와 3건의 보안권고(신규1,개정2)로 이루어져 있습니다.

이번 업데이트에 포함 된 보안 권고 3건의 정보는 아래와 같습니다.
■ 신규 보안 권고 2956541 Microsoft Update 클라이언트 업데이트

요약:
지원 대상인 모든 Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows RT 8.1 에디션에 대한 Microsoft Update 클라이언트를 업데이트할 것임을 알려드립니다. 
이 업데이트는 Microsoft Update 클라이언트 파일 및 통신 채널의 보안을 강화합니다.

권장 사항: 대부분의 고객은 자동 업데이트를 사용하고 있기 때문에 따로 조치를 취할 필요가 없습니다. 이 보안 업데이트가 자동으로 다운로드 되고 설치됩니다. 자동 업데이트를 사용하고 있지 않은 고객은 업데이트가 다운로드 및 설치되는 시간에 업데이트를 확인해야 합니다.



 개정된 보안 권고 2755801 Internet Explorer에 포함된 Adobe Flash Player의 취약점을 위한 업데이트

요약: 
지원 대상인 모든 Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1 에디션의 Internet Explorer에서 Adobe Flash Player에 대한 업데이트를 사용할 수 있게 되었음을 알려드립니다. 
이 업데이트는 Internet Explorer 10 및 Internet Explorer 11 내에 포함된 영향을 받는 Adobe Flash 라이브러리를 업데이트하여 Adobe Flash Player의 취약점을 해결합니다.

Microsoft는 2014년 4월 8일 Windows 8, Windows Server 2012 및 Windows RT의 Internet Explorer 10에 대한 업데이트와 Windows 8.1, Windows Server 2012 R2 및 Windows RT 8.1의 Internet Explorer 11에 대한 업데이트(2942844)를 발표했습니다. 
이 업데이트는 Adobe 보안 게시물 APSB14-09에 설명된 취약점을 해결합니다.



■ 개정된 보안 권고 2953095 Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점

요약:
Microsoft는 공개적으로 보고된 이 취약점에 대해 조사를 완료했습니다. 
이 문제를 해결하기 위해 MS14-017이 게시되었습니다. 해결된 취약점은 Word RTF 메모리 손상 취약점(CVE-2014-1761)입니다.


최신 버전이 아닌 상태에서 해당 제품 사용시 "공개된 취약점을 이용한 신종 악성코드" 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 아래의 해결책을 참고해서 최신 버전으로 업데이트 후 사용바랍니다.

※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS14-017 (긴급) : Microsoft Word 및 Office Web Apps의 취약점으로 인한 원격 코드 실행 문제점 (2949660)

이 보안 업데이트는 Microsoft Office의 공개된 취약점 1건과 비공개로 보고된 취약점 2건을 해결합니다. 

이러한 취약점 중 가장 위험한 취약점으로 인해 영향을 받는 Microsoft Office 소프트웨어 버전에서 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- Microsoft Office File Format Converter 취약점(CVE-2014-1757)

- Microsoft Word 스택 오버플로 취약점(CVE-2014-1758)

- Word RTF 메모리 손상 취약점(CVE-2014-1761)


2. MS14-018 (긴급) : Internet Explorer 누적 보안 업데이트 (2950467)

이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 6건을 해결합니다. 

이러한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

- Internet Explorer의 여러 메모리 손상 취약점

  : CVE-2014-0235, CVE-2014-1751, CVE-2014-1752, CVE-2014-1753, CVE-2014-1755, CVE-2014-1760


3. MS14-019 (중요) : Windows 파일 처리 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2922229)

이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 

사용자가 신뢰할 수 있거나 상당히 신뢰할 수 있는 네트워크 위치에서 특수하게 조작된 .bat 및 .cmd 파일을 실행하는 경우 이 취약점을 악용하면 원격 코드 실행이 가능합니다. 공격자는 강제로 사용자가 네트워크 위치를 방문하도록 만들거나 특수하게 조작된 파일을 실행하도록 할 수 없습니다. 대신 공격자는 사용자가 이러한 작업을 수행하도록 유도해야 합니다. 예를 들어, 공격자는 사용자가 링크를 클릭하여 공격자의 특수하게 조작된 파일이 있는 위치로 이동하고 결과적으로 이를 실행하도록 유도할 수 있습니다.

- Windows 파일 처리 취약점(CVE-2014-0315)


4. MS14-020 (중요) : Microsoft Publisher의 취약점으로 인한 원격 코드 실행 취약점 (2950145)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 

이러한 취약점으로 인해 사용자가 영향을 받는 Microsoft Publisher 버전으로 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

- 임의 포인터 역참조 취약점(CVE-2014-1759)





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.



Google Chrome 브라우저가 33.0.1750.154  버전으로 업데이트 되었습니다.

취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 4건의 High 등급의 보안 취약점 패치되었네요
특히 Pwn2Own 대회에서 프랑스 보안업체 VUPEN 회사와 익명의 제출자에 의해 확인 된 취약점들이 해결되었습니다.

- Google Chrome 33.0.1750.154 패치 내용

■ High CVE-2014-1713 : Use-after-free in Blink bindings

■ High CVE-2014-1714 : Windows clipboard vulnerability

■ High CVE-2014-1705 : Memory corruption in V8

■ High CVE-2014-1715 : Directory traversal issue



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가33.0.1750.149  버전으로 업데이트 되었습니다.

취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 3건의 High 등급 외 총 7건의 보안 취약점과 자체 내장 된 Adobe Flash Player 12.0.0.77 버전이 패치되었네요

- Google Chrome 33.0.1750.149 패치 내용

■ High CVE-2014-1700 : Use-after-free in speech

■ High CVE-2014-1701 : UXSS in events

■ High CVE-2014-1702 : Use-after-free in web database

■ High CVE-2014-1703 : Potential sandbox escape due to a use-after-free in web sockets

■ CVE-2014-1704 : Multiple vulnerabilities in V8 fixed in version 3.23.17.18



- Adobe Flash Player 12.0.0.77 패치 내용

■ CVE-2014-0503 : These updates resolve a vulnerability that could be used to bypass the same origin policy

■ CVE-2014-0504 : These updates resolve a vulnerability that could be used to read the contents of the clipboard



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가 33.0.1750.117  버전으로 업데이트 되었습니다.

취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 5건의 High 등급, 3건의 Medium 등급, 1건의 Low 등급 등 총 28건의 보안 취약점을 패치하는
9건의 업데이트가 진행
됩니다.

■ High CVE-2013-6652 : Issue with relative paths in Windows sandbox named pipe policy

■ High CVE-2013-6653 : Use-after-free related to web contents

■ High CVE-2013-6654 : Bad cast in SVG

■ High CVE-2013-6655 : Use-after-free in layout

■ High CVE-2013-6656 : Information leak in XSS auditor

■ Medium CVE-2013-6657 : Information leak in XSS auditor

■ Medium CVE-2013-6658 : Use-after-free in layou

■ Medium CVE-2013-6659 : Issue with certificates validation in TLS handshake

■ Low CVE-2013-6660 : Information leak in drag and drop



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.



Google Chrome 브라우저가 32.0.1700.76  버전으로 업데이트 되었습니다.

이번 32버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가되 된 것으로 확인 되네요.
  • Tab indicators for sound, webcam and casting (사운드, 웹캠, 캐스팅을 탭에 표기)
  • A different look for Win8 Metro mode (윈도우8의 메트로 모드 디자인 변화)
  • Automatically blocking malware files (악성코드 자동 차단)
  • A number of new apps/extension APIs (새로운 어플케이션 및 확장 API)
  • Lots of under the hood changes for stability and performance (안전성과 성능 변화)
※ 특히 악성코드 자동 차단 기능은 일반 사용자들에게는 박수칠 일이며, 분석가들에게는 비난 받을 ㅠ.ㅠ
예전에는 수동으로 삭제/계속을 선택할 수 있었는데, 지금은 매우 귀찮게 다운을 받아야 한다;;



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 
해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 4건의 High 등급 등 총 11건의 보안 취약점과 자체 내장 된 Adobe Flash Player 12.0.0.41 버전이 패치되었네요
■ High CVE-2013-6646 : Use-after-free in web workers

■ High CVE-2013-6641 : Use-after-free related to forms

■ High CVE-2013-6642 : Address bar spoofing in Chrome for Android

■ High CVE-2013-6643 : Unprompted sync with an attacker's Google account



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.

Google Chrome 브라우저가 31.0.1650.63  버전으로 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 2건의 High 등급, 4건의 Medium 등급 등 총 15건의 보안 취약점이 패치되었네요

■ Medium CVE-2013-6634 : Session fixation in sync related to 302 redirects

■ High CVE-2013-6635 : Use-after-free in editing

■ Medium CVE-2013-6636 : Address bar spoofing related to modal dialogs

■ CVE-2013-6637 : Various fixes from internal audits, fuzzing and other initiatives

■ Medium CVE-2013-6638 : Buffer overflow in v8

■ High CVE-2013-6639 : Out of bounds write in v8

■ Medium CVE-2013-6640 : Out of bounds read in v8



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가 31.0.1650.481 버전으로 정식 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 임직원께서는 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 6건의 High 등급, 1건의 Medium-Critical 등급, 4건의 Medium 등급, 1건의 Low 등급 등 총 25건의 보안
취약점과 자체 내장 된 Adobe Flash Player 11.9.900.152 버전이 패치되었네요

■ Medium CVE-2013-6621 : Use after free related to speech input elements

■ High CVE-2013-6622 : Use after free related to media elements

■ High CVE-2013-6623 : Out of bounds read in SVG. Credit to miaubiz

■ High CVE-2013-6624 : Use after free related to "id" attribute strings

■ Low CVE-2013-6626 : Address bar spoofing related to interstitial warnings

■ High CVE-2013-6627 : Out of bounds read in HTTP parsing

■ Medium CVE-2013-6628 : Issue with certificates not being checked during TLS renegotiation

■ Medium-Critical CVE-2013-2931 : Various fixes from internal audits, fuzzing and other initiatives.

■ Medium CVE-2013-6629 : Read of uninitialized memory in libjpeg and libjpeg-turbo

■ Medium CVE-2013-6630 : Read of uninitialized memory in libjpeg-turbo

■ High CVE-2013-6631 : Use after free in libjingle



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.

Google Chrome 브라우저가 30.0.1599.101 버전으로 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 임직원께서는 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 3건의 High 등급 등 총 5건의 보안 취약점이 패치되었네요.

High CVE-2013-2925 : Use after free in XHR

High CVE-2013-2926 : Use after free in editing

■ High CVE-2013-2927 : Use after free in forms

이외 CVE-2013-2928 패치를 통해 여러 가지 수정들이 이루어졌습니다.



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가 30.0.1599.66 정식버전으로 업데이트 되었습니다.


이번 30버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가되 된 것으로 확인 되네요.


  • Easier searching by image (더 쉬워진 이미지 검색 기능)
  • A number of new apps/extension APIs (다수의 새로운 어플리케이션과 확장 API 추가)
  • Lots of under the hood changes for stability and performance (안정성과 성능향상을 위한 변화)


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자분들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 10건의 High 등급, 7건의 Medium 등급, 1건의 Low 등급 등 총 50건의 보안 취약점이 패치되었네요.

■ Medium CVE-2013-2906 : Races in Web Audio

■ Medium CVE-2013-2907 : Out of bounds read in Window.prototype object

■ Medium CVE-2013-2908 : Address bar spoofing related to the "204 No Content" status code

■ High CVE-2013-2909 : Use after free in inline-block rendering

■ Medium CVE-2013-2910 : Use-after-free in Web Audio

■ High CVE-2013-2911 : Use-after-free in XSLT

■ High CVE-2013-2912 : Use-after-free in PPAPI

■ High CVE-2013-2913 : Use-after-free in XML document parsing

■ High CVE-2013-2914 : Use after free in the Windows color chooser dialog

■ Low CVE-2013-2915 : Address bar spoofing via a malformed scheme

■ High CVE-2013-2916 : Address bar spoofing related to the "204 No Content" status code

■ Medium CVE-2013-2917 : Out of bounds read in Web Audio

■ High CVE-2013-2918 : Use-after-free in DOM

■ High CVE-2013-2919 : Memory corruption in V8

■ Medium CVE-2013-2920 : Out of bounds read in URL parsing

■ High CVE-2013-2921 : Use-after-free in resource loader

■ High CVE-2013-2922 : Use-after-free in template element

■ Medium CVE-2013-2924 : Use-after-free in ICU



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)이 새롭게 시작페이지를 디자인하면서 새로운 기능들이
추가되었다.

새로운 기능에 대해서는 차후 다시 쓰기로 하고, 이번에 쓸 내용은 새로운 기능 중에 "애플리케이션" 이라는 북마크가 생성되었는데
이 놈 때문에 나의 북마크 리스트가 뒤로 밀리는 사태가 발생했다.

나의 북마크를 다시 살리기 위해서라도 이놈을 꼭 지워야된다!!
그래서 아는 지인분이 알려주셧다^^
(사실 방법은 매우 간단했다;;)

아래와 같이 "애플리케이션" 이라는 북마크가 새롭게 보인다.



"애플리케이션" 북마크에서 마우스 우측버튼을 누르게 되면, 아래와 같이 "앱 단축키 표시" 라는 부분이 나오는데,
이 체크를 풀어주면 된다.




그럼 이제 "애플리케이션" 북마크가 내 눈에 안보인다!!! ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


2013년 9월 18일 Internet Explorer와 관련 된 제로데이(0-Day)취약점이 발견되었다.

해당 취약점을 악용한 웹 페이지에 접속 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니, 해당 제품을 사용하시는 사용자들은
보안 패치 적용 전까지 Internet Explorer 웹 브라우저를 이용하여 인터넷을 사용하지 않도록 주의하길 바란다.

이번에 발견 된 Internet Explorer 취약점은 HTML 랜더링 엔진(mshtml.dll)의 Use After Free 취약점을 이용한 메모리 손상을 통해
임의의 코드를 실행 할 수 있다는 내용이다.

특히 이번 취약점은 모든 Internet Explorer 버전에 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.

- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)

■ 영향을 받는 소프트웨어
(모든 버전의 Internet Explorer 브라우저)

- Internet Explorer 6 : Windows XP, Windows Server 2003

- Internet Explorer 7 : Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008

- Internet Explorer 8 : Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008
 
- Internet Explorer 9 : Windows Vista, Windows 7, Windows Server 2008
 

- Internet Explorer 10 : Windows 7, Windows 8, Windows Server 2008, Windows Server 2012, Windows RT

- Internet Explorer 11 : Windows 8.1, Windows Server 2012, Windows RT 8.1


현재 마이크로소프트(Microsoft)에서는 CVE-2013-3893 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포 행위가 발생함에
따라 긴급 "Fix it(Microsoft Knowledge Base Article 2887505)"을 배포하고 있으니, 공식적인 패치가 나오기 전까지는 Fix it을 
설치하여 
 CVE-2013-3893 취약점에 대한 임시적 해결을 할 수 있으니 참고하기 바란다.

 
- Microsoft Fix it 51001 (Fix it 적용) : 파일 다운로드
- Microsoft Fix it 51002 (Fix it 해제) : 파일 다운로드
 
※ 정식 보안 패치가 나오면 업데이트 전 해당 프로그램은 삭제 해야 된다. 잊지 마시길^^



Fix it 솔루션이 발표는 되었지만, 정식 보안패치가 나올 때 까지 Internet Explorer 브라우저 사용을 최대한 자제해야 하며, 

MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저(Mozilla Firefox, Google Chrome, Opera, Swing 등)를 
사용하는 것이 
안전하다.

- 스윙 브라우저(Swing-browser) : http://swing-browser.com

- 파이어폭스(Mozilla Firefox) : http://www.mozilla.or.kr/ko

- 구글 크롬(Google Chrome) : http://www.google.com/chrome

- 오페라(Opera) : http://www.opera.com/browser


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




원래 해당 보안업데이트 내역은 29.0.1547.57 버전의 내용이나, 포스팅을 늦게 하는 바람에 벌써 66버전까지 업데이트 되었다.

취약점 내용을 적기 위한 포스트이니, 참고하시기 바람.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자분들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 5건의 High 등급, 1건의 Low 등급 등 총 25건의 보안 취약점이 패치되었네요.

High CVE-2013-2900 : Incomplete path sanitization in file handling

Low CVE-2013-2905 : Information leak via overly broad permissions on shared memory files

High CVE-2013-2901 : Integer overflow in ANGLE

High CVE-2013-2902 : Use after free in XSLT

High CVE-2013-2903 : Use after free in media element

High CVE-2013-2904 : Use after free in document parsing



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 28.0.1500.95 버전으로 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자분들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.

이번 보안 업데이트는 4건의 High 등급, 1건의 Medium 등급 등 총 11건의 보안 취약점이 패치되었네요.

Medium CVE-2013-2881 : Origin bypass in frame handling

High CVE-2013-2882 : Type confusion in V8

High CVE-2013-2883 : Use-after-free in MutationObserver

High CVE-2013-2884 : Use-after-free in DOM

High CVE-2013-2885 : Use-after-free in input handling



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.





Google Chrome 브라우저가 28.0.1500.71 버전으로 업데이트 되었습니다.


이번 업데이트에서는 브라우저 자체의 플레시플레이어(Flash Player)버전이 11.8.800.97으로 업그레이드 되었으며 보안적인
업데이트도 진행 되었네요.


보안 업데이트는 1건의 Critical 등급, 3건의 High 등급, 7건의 Medium 등급, 3건의 Low 등급 등 총 14건의 보안 취약점이
패치 되었네요.

Low CVE-2013-2867: Block pop-unders in various scenarios.

High CVE-2013-2879: Confusion setting up sign-in and sync

Medium CVE-2013-2868: Incorrect sync of NPAPI extension component

Medium CVE-2013-2869: Out-of-bounds read in JPEG2000 handling

Critical CVE-2013-2870: Use-after-free with network sockets

Medium CVE-2013-2853: Man-in-the-middle attack against HTTP in SSL

High CVE-2013-2871: Use-after-free in input handling

Low CVE-2013-2872: Possible lack of entropy in renderers

High CVE-2013-2873: Use-after-free in resource loading

Medium CVE-2013-2874: Screen data leak with GL textures [Windows + NVIDIA only] 

Medium CVE-2013-2875: Out-of-bounds-read in SVG

Medium CVE-2013-2876: Extensions permissions confusion with interstitials

Low CVE-2013-2877: Out-of-bounds read in XML parsing

Medium CVE-2013-2878: Out-of-bounds read in text handling



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 27.0.1453.110 버전으로 업데이트 되었습니다.


이번 업데이트에서는 기능적인 부분보다는 보안적인 업데이트가 중점이네요^^

업데이트는 1건의 Critical 등급, 10건의 High 등급, 1건의 Medium 등급 등 총 12건의 보안 취약점이 보안되었네요.

High CVE-2013-2854 : Bad handle passed to renderer [Windows only]

Medium CVE-2013-2855 : Memory corruption in dev tools API

High CVE-2013-2856 : Use-after-free in input handling

High CVE-2013-2857 : Use-after-free in image handling

High CVE-2013-2858 : Use-after-free in HTML5 Audio

High CVE-2013-2859 : Cross-origin namespace pollution

High CVE-2013-2860 : Use-after-free with workers accessing database APIs

High CVE-2013-2861 : Use-after-free with SVG

High CVE-2013-2862 : Memory corruption in Skia GPU handling.

Critical CVE-2013-2863 : Memory corruption in SSL socket handling

High CVE-2013-2864 : Bad free in PDF viewer

High CVE-2013-2865 : Various fixes from internal audits, fuzzing and other initiatives.



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가 27.0.1453.93 정식버전으로 업데이트 되었습니다.


이번 27버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가되 된 것으로 확인 되네요.


- 웹페이지 로드가 평균 5% 향상 (Web pages load 5% faster on average)


- chrome.syncFileSystem API 추가 (chrome.syncFileSystem API)


- 주소창 예측 기능, 맞춤법 교정 기능 등 기능적인 부분 향상 (Improved ranking of predictions, improved spell correction, 

and numerous fundamental improvements for Omnibox predictions. Please see the Help Center for more information on our 

updated policies)



또한 이번 업데이트는 11건의 High 등급, 2건의 Medium 등급, 1건의 Low등급 등 총 14건의 보안 취약점이 보안되었네요.

■ High CVE-2013-2837 : Use-after-free in SVG


■ Medium CVE-2013-2838 : Out-of-bounds read in v8


■ High CVE-2013-2839 : Bad cast in clipboard handling


■ High CVE-2013-2840 : Use-after-free in media loader


■ High CVE-2013-2841 : Use-after-free in Pepper resource handling


■ High CVE-2013-2842 : Use-after-free in widget handling


■ High CVE-2013-2843 : Use-after-free in speech handling


■ High CVE-2013-2844 : Use-after-free in style resolution


■ High CVE-2013-2845 : Memory safety issues in Web Audio


■ High CVE-2013-2846 : Use-after-free in media loader


■ High CVE-2013-2847 : Use-after-free race condition with workers


■ Medium CVE-2013-2848 : Possible data extraction with XSS Auditor


■ Low CVE-2013-2849 : Possible XSS with drag+drop or copy+paste


■ High CVE-2013-2836 : Various fixes from internal audits, fuzzing and other initiatives.



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.