이호스트ICT 공식 블로그

□ 개요 o 국내 PHP기반의 공개 웹 게시판인 테크노트에서 XSS 취약점이 발견됨 [1] o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어 - 테크노트7.2 및 이전 버전 □ 해결방안 o 테크노트7.2 및 이전버전 사용자는 테크노트 홈페이지 공지사항을 참조하여 소스 수정 [1] ※ 패치 작업 이전에 원본 파일은 백업 필요 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o XSS (Cross Site Scripting) : 웹사이트 관리자가 아닌 이가 웹페이지에 클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 ..

□ 개요 o 국내 PHP기반의 공개 웹 게시판인 제로보드에서 XSS 취약점이 발견됨 [1] o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어[1] - 제로보드4 버전 - 익스프레스 엔진(제로보드XE)1.4.5.2 및 이전 버전 □ 해결방안 o 제로보드4는 2009년 9월 25일 이후로 공식적인 배포가 중단되었으므로, 해당 버전 사용자는 XE 버전으로 업그레이드를 권고 [2] o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [3] ※ 패치 작업 이전에 원본 파일은 백업 필요 o 익스프레스 엔진을 새로 설치하는 이용자 - ..

□ 개요 o Adobe社는 Adobe Flash Player에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1] ※ 안드로이드 환경에서 동작하는 Adobe Flash Player 제외 o 공격자는 특수하게 조작된 Flash파일이 삽입된 엑셀 및 MS워드 파일을 사용자가 열어보도록 유도하여 악성코드 유포 가능 o 낮은 버전의 Adobe Flash Player 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고 □ 해당 시스템 o 영향 받는 소프트웨어 - 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player 10.2.153.1 및 이전 버전 - 크롬 웹브라우저에서 사용하는 Adobe Flash Player 10.2.154.25 및 ..

[MS11-018] Internet Explorer 6, 7, 8 취약점으로 인한 원격코드 실행 문제 □ 영향 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득 □ 설명 o 특수하게 조작된 웹페이지 파일을 열었을 경우 원격코드실행 취약점이 존재 o 관련취약점 : - Layouts Handling Memory Corruption Vulnerability - CVE-2011-0094 - MSHTML Memory Corruption Vulnerability - CVE-2011-0346 - Frame Tag Information Disclosure Vulnerability - CVE-2011-1244 - Javascript Information Disclosure Vulnerability - CVE-201..

- 개인정보의 기술적ㆍ관리적 보호조치 기준 해설서 배포 방송통신위원회(위원장 최시중)와 한국인터넷진흥원(KISA, 원장 김희정)은 인터넷사업자 등이 개인정보의 보호조치 의무를 이행하는데 도움을 주고자 "개인정보의 기술적ㆍ관리적 보호조치 기준 해설서"를 마련하여 배포한다고 밝혔다. 방송통신위원회는 해킹 등 외부 공격에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산을 막고자 지난 8월 개인정보의 기술적ㆍ관리적 보호조치 기준을 개정 고시한 바 있다. 해설서는 개인정보가 처리되는 시스템의 보호방안과 직원이 개인정보를 취급한 기록의 의무보관, 주민등록번호ㆍ계좌번호 등 주요정보의 암호화 보관 등 전반적인 보호조치 기준들의 제정 취지와 구체적인 적용 방법들에 대해 설명하고 있다. 해설서는 9월 18일..

- 한국인터넷진흥원 메신저 피싱 방지 5계명 발표 A씨는 최근 연락이 뜸한 대학 친구들로부터 “입금은행, 계좌번호를 다시 알려 달라.“는 뜬금없는 문자 메세지를 받았다. 알고 보니 누군가 A씨의 인터넷 메신저 아이디를 도용해 로그인한 뒤 대량쪽지 기능을 이용하여 등록된 친구 모두에게 ”부모님 병원비가 모자란다.“면서 30만원을 요구한 것이었다. 한국인터넷진흥원(KISA, 원장 김희정)은 최근 기승을 부리고 있는 인터넷 메신저를 통한 금전 요구 등 관련 피해 예방을 위해 ‘메신저 피싱 방지 5계명‘을 발표하고, 이에 대한 각별한 주의가 필요하다고 당부했다. 메신저 피싱(Messenger Pishing)은 타인의 인터넷 메신저 ID, 비밀번호를 입수하여 로그인한 후 이미 등록되어 있는 친ㆍ인척, 지인에게 1..

한국인터넷진흥원은 개인정보 취급자의 개인정보보호 관리 능력 제고를 위한 전문교육 과정을 아래와 같이 개설하오니, 관심 있는 분들의 많은 참여 부탁드립니다. □ 교육개요 o 개인정보보호 처리 원칙 및 준수사항 교육 o 개인정보보호 책임자 및 취급자의 개인정보보호 관리 능력 제고 □ 교육대상 o 정보통신망법 준용사업자 소속 직원 o 기업 내 개인정보(고객정보) 취급 책임자 또는 실무자 □ 교육일시 o 제 6차 교육 일시 : 2009년 9월 24일 (목) 13:40 ~ 18:00 □ 교육신청 기간 및 방법 o 교육신청 기간 : 2009년 9월 10일(목) ~ 9월 18일(금) 12:00까지 o 교육신청 방법 : 한국CPO포럼 사무국으로 이메일 또는 팩스 접수 o 접수처 : info@cpoforum.or.kr,..