NSHC, (국산) 인기 SW ‘제로 데이’ 취약점 발표

국내 웹 사이트에서 아래 아 한글 등으로 작성한 문서를 웹 페이지에 첨부한 것을 종종 볼 수 있는데, 그걸 첨부하는 이는 그 파일의 신뢰성에 대해 책임을 져야 할 것이다. 작성 프로그램은 보상 문제 없는 것인지 파일 자체는 올리기 전에 바이러스 등 문제가 없는지 확인한 이후에 올려야 할 것인데, 그런 파일을 보면 겁부터 먼저 나는 이는 나뿐인가?

NSHC, (국산) 인기 SW ‘제로 데이’ 취약점 발표
지딘넷 코리아 | 김우용 기자 (yong2@zdnet.co.kr) | 입력: 2016.07.28.15:06 | 수정: 2016.07.28.15:06
...
최근 기업과 기관을 대상으로 한 지속적 지능형 공격(APT)이 급증하고 있다.
NSHC(대표 허영일)는 27일 싱가포르 AXA타워에서 APT 공격에 악용될 수 있는 취약점 분석 연구 결과를 발표했다.
지난 5월부터 4주일 동안 진행된 이 연구는 국내 민간, 정부 및 기업 등에서 자주 사용하는 인기 소프트웨어(문서/이미지 뷰어, 동영상/음악 플레이어) 30여 종을 대상으로 삼았다. NSHC는 연구 결과 12종의 소프트웨어에서 40여 건의 취약점을 발견했다고 밝혔다.
발표된 취약점은 권한 없는 공격자가 외부에서 다양한 보안 솔루션을 우회해 사용자 시스템의 모든 권한을 획득할 수 있는 버퍼 오버플로우, DLL 하이재킹 등이다. 범죄에 악용 될 가능성이 있기 때문에 상세 내용은 발표되지 않았다. NSHC는 긴급 보안 패치가 이뤄질 수 있도록 주요 기관 및 기업에 전달했다.

NSHC는 취약점으로 인한 피해를 최소화할 수 있는 가이드를 제시했다.
▲ 출처 불분명한 문서, 동영상, 이미지, 음악 등 열람 자제 ▲ 데이터 열람 시 동일한 폴더에 출처가 불분명한 파일(.dll 등) 존재 여부 확인 ▲ 소프트웨어 보안 업데이트 생활화 ▲ 개발 및 업데이트가 중단된 소프트웨어 이용 주의 ▲ 프로그램을 정상적으로 삭제 하였더라도 취약한 관련 파일이 남아 있을 수 있으므로 완전히 삭제되었는지 확인 ▲(기업, 단체일 경우) 내부에서 사용되는 소프트웨어에 대한 주기적인 안전성 검증(알려진 취약점이 존재하는지, 잠재적 취약점이 존재하는지 확인, 소프트웨어 업데이트 관리 등) 등이다.​
...

참고 자료: Desire HD(사이애노젠모드 13)로 전화 걸거나 받을 수 없던 문제 해결

HTC가 Desire HD의 안드로이드 4.0 업데이트 약속을 깨면서 전격적으로 루팅해서 사이애노젠모드를 쓰기 시작한 지 5년이 지났는데 그동안 그럭저럭 잘 써왔지만 사이애노젠 13 개발 주기로 넘어가면서 워낙 불안정해서 얼마 전까지는 12.1(안드로이드 5..1.1)을 써오다가 며칠 전부터 다시 13을 쓰기 시작했습니다.
그런데 뜻 밖의 난제 - 다른 번호로 전화를 걸거나 다른 전화에서 전화를 걸면 그 즉시 사이애노젠모드 로고가 나타나면서 리부팅하는 문제 - 를 만나 이런저런 삽질하느라 시간을 많이 소모했습니다.(SMS 등은 쓸 수 있었습니다.) 영문을 모르는 상태에서 관련 정보를 찾아봐도 쉽게 찾을 수 없었기 때문에 APN을 수정하거나 새로 만든 뒤 여러 차례 리부팅하기도 하고 phone 앱 설정을 바꾸어보기도 하고 심(유심) 카드 잠금 설정을 해제하기도 하면서 다음 버전에선 해결될지 몰라서 매일 업데이트했습니다. 오늘 오전에 여기 링크한 페이지를 우연히 읽고는 해답을 얻어 그대로 따라 했더니
그렇게 애를 먹이던 전화 문제가 한방에 풀렸습니다.
핵심은 phone 앱의 퍼미션 문제이고 전화 앱으로 phome 앱을 디폴트로 설정하는 것이었습니다.
참고로 이 Desire HD용 사이애노젠모드는 사이애노젠에서 공식적으로 개발하는 것이 아니라 비공식적인 것인데 20160727 버전이 되어서야 보안 패치 수준이 'July 5, 2016'으로 되었습니다. 좀 늦은 감은 있지만 부담이 없어졌습니다.(Desire HD용 사이애노젠 모드 12.1의 보안 패치 수준은 아직 'February 1, 2016'에 머물러 있습니다.)
넥서스 5를 주력 기기로 삼은 지 2년 7개월이 지났으므로 Desire HD는 일상적으로 쓰는 기기는 아니지만 주요한 기능이 이렇게 문제를 안고 있으면 안되겠기에 노심초사(?)했는데 일단 한 시름 놓았습니다. ^^

Dialer crash on cm13
Started by Ludzik, November 24, 2015

해병대 간 아들 휴대폰 요금 폭탄... 범인은 간부

언제나 보안이 허술한 기기가 공격 혹은 범행 대상, 여기에서는 화면 잠금 설정만 해놓았더라도 괜찮았을 것이고 원천적으로는 휴대전화 소액 결제를 하지 못하도록 통신사에 요청해서 처리했더라면 화면 잠금 해제를 하더라도 문화 상품권 구입은 불가능했을 것. 그런데, 이 휴대전화 소액 결제는 개통 당시에는 기본적으로 사용 가능하게 되어 있으므로 개별 사용자가 전화해서 쓰지 않게 요청해야 쓰지 않게 해주는데 어떻게 이런 식으로 해놓았는지 모르겠다. 문제가 생겨도 통신사는 이 사건에서 보이는 것처럼 무조건 요금 청구를 하면 되니까? 에라이 도둑놈들아.

해병대 간 아들 휴대폰 요금 폭탄... 범인은 간부
김종원 기자 | 입력: 2016.07.30 20:27 | 수정: 2016.07.30 21:02
...
이런 일이 가능했던 건, 요즘은 군에서 장병 들이 휴가나 외출을 나갔다 복귀할 때 휴대전화기를 가지고 와도 되게끔 허용하고 있기 때문입니다.
부대에 들어올 때까지는 휴대전화를 사용하되, 부대에 들어와서는 다음에 나갈 때까지 전화기를 보관함에 두도록 하고 있는 건데, 정 중사는 바로 이 전화기들을 노렸습니다.

[잠금 장치가 안 돼 있는 핸드폰만 골라서 문화 상품권을 결제한 걸로 알고 있어요.]

결제는 의외로 쉬웠습니다.

[핸드폰만 있으면 생년월일만 알면 결제 인증이 되거 든요. 부대 내에 개인 신상 정보가 다 컴퓨터 안에 기록이 돼 있잖아요. (그걸 찾아서 보고 결제를 한 거예요.)]
...

spice OpenGL/virgl acceleration on Fedora 24

Why The R9 290 & Other Select Radeon GPUs Are Performing Miserably On Linux 4.7

Fedora 24 Officially Released: Powered By Linux 4.5 & GNOME 3.20