Only W0N in Security Intelligence

test

test11

개요
o 구글社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

설명
o 크롬 브라우저의 Indexed DB에서 발생하는 Use-after-free 취약점 (CVE-2022-1853) 등 12개
o 크롬 브라우저의 File System API에서 발생하는 불충분한 정책 집행 취약점 (CVE-2022-1857) 등 5개
o 크롬 브라우저의 DevTools에서 발생하는 범위를 벗어난 읽기 취약점 (CVE-2022-1858) 등 2개
o 크롬 브라우저의 확장 프로그램에서 발생하는 부적절한 구현 취약점 (CVE-2022-1862) 등 3개
o 크롬 브라우저의 데이터 전송 과정에서 발생하는 신뢰할 수 없는 입력값에 대한 불충분한 유효성 검사 취약점 (CVE-2022-1867)
o 크롬 브라우저의 V8 엔진에서 발생하는 Type Confusion 취약점 (CVE-2022-1869)

영향을 받는 버전 및 해결 버전

※ 하단의 참고 사이트를 확인하여 업데이트 확인 및 수행 [2]

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html
[2] https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=ko


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66729

개요
o Zoom社는 자사 제품의 취약점을 해결한 보안 업데이트 공개 [1]
o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

설명 [1]
o Zoom 클라이언트에서 발생하는 부적절한 XML 구문 분석 취약점 (CVE-2022-22784)
o Zoom 클라이언트에서 발생하는 불충분한 인가 취약점 (CVE-2022-22785)
o Windows용 Zoom 클라이언트 업데이트 시 설치 버전 검증 미흡으로 인해 다운그레이드가 발생하는 취약점 (CVE-2022-22786)
o Zoom 클라이언트에서 발생하는 불충분한 인가 취약점 (CVE-2022-22787)

영향 받는 버전
o 5.10.0 이전 버전의 Zoom 클라이언트 (Android, iOS, Linux, macOS 및 Windows용)

해결 방안
o 최신 버전으로 업데이트 수행 [2]
- 제조사의 업데이트 방법 참고 [3]

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://explore.zoom.us/en/trust/security/security-bulletin/
[2] https://zoom.us/download
[3] https://support.zoom.us/hc/en-us/articles/201362233-Upgrading-Zoom-to-the-latest-version


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66730

개요
o 모질라 재단은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고

주요내용
o Firefox, Firefox ESR, Firefox for Android, Thunderbird에서 발생하는 프로토타입 오염 취약점(CVE-2022-26485) 등 2개 [2]

영향을 받는 제품 및 최신 버전

※ 하단의 참고사이트를 확인하여 업데이트 수행 [3]

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://www.mozilla.org/en-US/security/advisories
[2] https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/
[3] https://support.mozilla.org/ko/kb/update-firefox-latest-release


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66728

개요
o 오라클社는 자사 E-Business Suite 제품의 보안 취약점에 대한 패치 발표
o 영향받는 버전의 사용자는 아래 해결 방안에 따라 최신 버전으로 업데이트 권고

설명
o Oracle E-Business Suite 제품군에서 발생하는 인증 우회 취약점 (CVE-2022-21500) [1]

영향받는 제품 및 버전

해결 방안
o 아래 참고사이트에서 해당하는 버전에 맞는 패치 적용 [2]

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://www.oracle.com/security-s/-cve-2022-21500.html
[2] https://support.oracle.com/rs?type=doc&id=2870472.1


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66727

개요
o VMware社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
o 낮은 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

설명
o VMware Workspace ONE Access, Identity Manager 및 vRealize Automation에서 발생하는 인증 우회 취약점(CVE-2022-22972)
o VMware Workspace ONE Access 및 Identity Manager에서 발생하는 로컬 권한 상승 취약점(CVE-2022-22973)

영향받는 제품 및 버전

해결 방안
o 아래 참고사이트에서 해당하는 버전에 맞는 패치 적용 [2]

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://www.vmware.com/security/advisories/VMSA-2022-0014.html
[2] https://kb.vmware.com/s/article/88438


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66720&queryString=cGFnZT01JnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9

개요
o OpenSSL에서 발생하는 취약점을 해결한 보안 업데이트 발표
o 낮은 버전 사용자는 여러 가지 공격에 취약하므로, 최신 버전으로 업데이트 권고

설명 [1]
o OpenSSL 내 c_rehash 스크립트에서 쉘 메타 문자를 적절하게 삭제하지 않아 발생하는 명령 주입 취약점(CVE-2022-1292)
o OpenSSL 내 OCSP_basic_verify 함수가 응답 서명 인증서를 잘못 확인하여 발생하는 인증 오류 취약점(CVE-2022-1343)
o RC4-MD5 암호 제품군을 통해 구현된 OpenSSL에서 AAD 데이터를 MAC키로 잘못 사용하여 발생하는 비밀번호 오류 취약점(CVE-2022-1434)
o OpenSSL에서 인증서 또는 키를 디코딩할 때 사용하는 OPENSSL_LH_flush() 함수의 메모리 재사용을 중단하는 버그로 인해 발생하는 서비스 거부 취약점(CVE-2022-1473)

영향받는 버전
o OpenSSL 1.0.2 및 이전 버전
o OpenSSL 1.1.1 및 이전 버전
o OpenSSL 3.0 및 이전 버전

해결 방안
o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트 [2]
- OpenSSL 1.0.2 버전 사용자 : 1.0.2ze 버전으로 업데이트
- OpenSSL 1.1.1 버전 사용자 : 1.1.1o 버전으로 업데이트
- OpenSSL 3.0 버전 사용자 : 3.0.3 버전으로 업데이트
※ OpenSSL 1.0.2 버전(Premium Level Support 사용자 제외) 및 1.1.0 버전은 더 이상 업데이트가 지원되지 않으니 OpenSSL 1.1.1o 또는 3.0.3 버전으로 변경할 것을 권고

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://www.openssl.org/news/secadv/20220503.txt
[2] https://www.openssl.org/source/


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66719&queryString=cGFnZT01JnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9