윈도우 미디어 플레이어 11 이하 버전에서 정수 오버플로우가 발견되었습니다. 조작된 WAV, SND, MIDI 파일을 사용자가 열게 되면 공격자가 의도한 임의의 코드를 실행할 수 있는 취약점입니다. 발견자(Laurent gaffie)는 무려 이번에 유출된 윈도우 7까지 테스트를 해본 모양이군요. 아직 패치가 없는 상태입니다.

SecurityFocus에 Proof of Concept 펄 코드가 올라왔고, SANS의 Windows Media Player Integer Overflow 글에 충돌 위치가 표시되어 있습니다.

지난 목요일(18일)엔 12월을 달궜던 IE의 제로데이 취약점 패치가 공개되었습니다. 윈도우를 사용하시는 분들은 꼭 다운로드 받아서 패치하세요.

지난 1주간의 중요 소식을 살펴보시죠.

취약점

• 플래시 취약점 - Security Focus
  원격에서 공격할 수 있으나, 구체적인 내용은 확인되지 않은 취약점입니다. 10.0.15.3 혹은 9.0.152.0 이전의 플래시를 사용하는 분들은, 꼭 업데이트 하세요.
• 파이어폭스/썬더버드/씨몽키 취약점 - Security Focus
  파이어폭스/썬더버드/씨몽키 등에서 공통적으로 발견된 취약점입니다. 이 취약점을 이용해 공격자가 중요한 정보를 빼내거나, 임의의 코드를 실행할 수 있다고 합니다. 썬더버드 2.0.19, 씨몽키 1.1.14, 파이어폭스 3.0.5, 2.0.19 이전 버전이 해당됩니다. 파이어폭스 2는 더이상 업데이트가 안된다고 하니, 이참에 파이어폭스 3으로 갈아타는 것은 어떨까요?

국내 소식

• 거물 웹사이트 잡는 DDoS, 또 '기승' - 쿠키뉴스
  얼마전 아이템베이에 DDoS 사고가 발생했습니다. 날이 가면 갈수록 DDoS 사고가 증가하고 있는데, DDoS가 줄어들 기미는 요원해 보입니다.
• 유가환급금 보이스피싱 - 보안뉴스
  최근 유가환급금과 관련된 보이스피싱이 발생하고 있습니다. 유가환급금을 돌려준다고 하면서 계좌번호를 알려달라고 하는 전화를 조심하세요.
• V3 Lite 정식 서비스 개시 - 보안뉴스
  안철수연구소가 개인용 무료백신 V3 Lite의 정식 서비스를 시작했습니다. 이로써 개인사용자는 알약과 더불어 V3 Lite도 무료로 사용할 수 있게 되었습니다.

 국외 소식

• Cisco 2008 Security Annual Report
  2008년의 위협 정보와 경향이 정리된 보고서입니다. 실무자이거나, 보안에 관심있다면 MUST READ

지난 12월 16일에 배포된 2.0.0.19 버전과 2.0.0.20 버전을 마지막으로, 더 이상 파이어폭스 2는 업데이트 되지 않을 예정이라고 합니다. 일반적으로 사람들이 인식하고 있는 것과 달리, 파이어폭스도 심각한 버그가 종종 발견되는 편입니다. 브라우저 자동 업데이트 때문에 잘 느끼지 못할 뿐이죠. :-)

안전하게 웹 브라우징을 하려면 파이어폭스 3으로 갈아타시기 바랍니다.