Home > Àüü±â»ç

Ä«Ä«¿ÀÅå¿¡¼­ ¡®¿øŬ¸¯¡¯ Ãë¾àÁ¡ ¹ß°ß... ´Ù¸¥ »ç¿ëÀÚ Ã¤Æà ¸Þ½ÃÁö Àб⠰¡´É

ÀÔ·Â : 2024-06-28 10:45
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Á¾´Ü°£ ¾Ïȣȭ ¸Þ½Ã¡ ºñÈ°¼ºÈ­°¡ ¹®Á¦...À¥ºä¿¡¼­ ¹ß»ýÇÏ´Â ¿À·ù°¡ Ãë¾àÁ¡ Åë·Î

[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] Ä«Ä«¿ÀÅåÀÇ 10.4.3 ¹öÀü¿¡¼­ ¿øŬ¸¯ ÀͽºÇ÷ÎÀÕ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡Àº µö¸µÅ© À¯È¿¼º °Ë»ç·Î ÀÎÇØ ¿ø°Ý °ø°ÝÀÚ°¡ »ç¿ëÀÚ¿¡°Ô À¥ºä(WebView) ³»¿¡¼­ °ø°ÝÀÚ°¡ Á¦¾îÇÏ´Â ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ÀÓÀÇ·Î ½ÇÇàÇϵµ·Ï Áö½ÃÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ °èÁ¤À» Å»Ãë, äÆà ¸Þ½ÃÁö¸¦ ¹«´ÜÀ¸·Î ÀÐÀ» ¼ö ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.

¡ãº¸¾È ¿¬±¸¿øÀÌ Ä«Ä«¿ÀÅå ¿øŬ¸¯ ÀÕ½ºÇ÷ÎÀÕ Ãë¾àÁ¡À» ¼Ò°³ÇÏ´Â µ¿¿µ»ó[ĸó=±êÇãºê stulle123 ºí·Î±×]


À̹ø Ãë¾àÁ¡Àº CVE-2023-51219·Î ¸í¸íµÆ´Ù. ÇöÀç ±¸±Û Ç÷¹À̽ºÅä¾î¿¡ µî·ÏµÈ ¹öÀüÀº 10.8.3 ¹öÀüÀ¸·Î 6¿ù 24ÀÏ¿¡ ¾÷µ¥ÀÌÆ®µÈ °ÍÀ¸·Î Ç¥±âµÅ ÀÖ´Ù.

ÀÌ Ãë¾àÁ¡Àº °ø°ø ÄÚµå ¸®Æ÷ÁöÅ͸®ÀÎ ±êÇãºê(GitHub)¿¡¼­ stulle123¶ó´Â °èÁ¤À» °®°í ÀÖ´Â ¿Ü±¹ÀÇ ÇÑ º¸¾È¿¬±¸¿øÀÌ ¡°Ä«Ä«¿ÀÅå ¾Èµå·ÎÀÌµå ¾ÖÇø®ÄÉÀ̼ÇÀÇ ´Ù¾çÇÑ Ãë¾àÁ¡ÀÌ ¾î¶»°Ô »ç¿ëÀÚÀÇ ¸Þ½ÃÁö °ø°³·Î À̾îÁú ¼ö ÀÖ´ÂÁö º¸¿©ÁÖ°í ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.

Á¾´Ü°£ ¾Ïȣȭ ¸Þ½Ã¡ ºñÈ°¼ºÈ­ µðÆúÆ®°¡ ¹®Á¦
À̹ø Ãë¾àÁ¡¿¡ ´ëÇØ ÇØ´ç ¿¬±¸¿øÀº ¡°Ä«Ä«¿ÀÅå¿¡¼­´Â Á¾´Ü°£ ¾Ïȣȭ(End-to-End Encrypted, E2EE) ¸Þ½Ã¡ÀÌ ±âº»ÀûÀ¸·Î È°¼ºÈ­µÇ¾î ÀÖÁö ¾Ê¾Ò´Ù. Ä«Ä«¿ÀÅåÀÌ Àü¼Û ÁßÀÎ ¸Þ½ÃÁö¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Â ÀÏ¹Ý Ã¤ÆùæÀº ¸¹Àº »ç¿ëÀÚµéÀÌ ¼±È£ÇÏ´Â ¹æ½ÄÀÌ´Ù. Ä«Ä«¿ÀÅå¿¡´Â ¡®º¸¾È äÆá¯À̶ó´Â ¿ÉÆ®ÀÎ(opt-in) E2EE ±â´ÉÀÌ ÀÖÁö¸¸, ±×·ì ¸Þ½Ã¡À̳ª À½¼º ÅëÈ­¿Í °°Àº ±â´ÉÀº Áö¿øÇÏÁö ¾Ê´Â´Ù¡±°í ¼³¸íÇß´Ù.

À̹ø Ãë¾àÁ¡ÀÇ ÁøÀÔ Åë·Î´Â À¥ºä(WebView)¿¡ ÀÖ´Ù°í ÀÌ ¿¬±¸¿øÀº ¼Ò°³Çß´Ù. ¡®À¥ºä(WebView)¡¯¶õ ¾Èµå·ÎÀ̵å Ç÷§Æû¿¡ ³»ÀåµÈ ¾ÖÇø®ÄÉÀ̼ÇÀ¸·Î 2021³â 3¿ù¿¡µµ ±¸±Û ¾Èµå·ÎÀÌµå ½º¸¶Æ®Æù¿¡¼­ Ä«Ä«¿ÀÅå°ú ³×À̹ö µî ¸ð¹ÙÀÏ ¾ÛÀÇ ÀÛµ¿ÀÌ ¸ØÃß´Â ¿À·ù°¡ ¹ß»ýÇßÀ» ¶§ ÁÖ¿ä ¿øÀÎÀ¸·Î ²ÅÈ÷±âµµ Çß´Ù.

ÀÌ À¥ºä´Â ³»º¸³»±â°¡ µÇ¸ç, µö¸µÅ©(Deeplink)·Î ½ÃÀÛÇÒ ¼ö ÀÖ´Ù. µö¸µÅ©¶õ, ¸ð¹ÙÀÏ À¥»ó¿¡ ÀÖ´Â ¸µÅ©³ª ±×¸²À» Ŭ¸¯ÇÒ °æ¿ì ±â±â ³» °ü·Ã ¾ÛÀ̳ª »çÀü¿¡ Á¤ÀÇµÈ Æ¯Á¤ À¥ÆäÀÌÁö°¡ ½ÇÇàµÇ´Â ¸ð¹ÙÀÏ ±â¼úÀ» ¸»ÇÑ´Ù.

±×¸®°í ÀÚ¹Ù½ºÅ©¸³Æ®°¡ È°¼ºÈ­µÅ ÀÖÀ¸¸ç, ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ÅëÇØ ³»º¸³»Áö ¾ÊÀº ´Ù¸¥ ¾Û ±¸¼º ¿ä¼Ò¿¡ µ¥ÀÌÅ͸¦ Àü¼ÛÇÏ´Â ¹æ½ÄÀ» »ç¿ëÇÏ°í ÀÖ´Ù. ¿¹¸¦ µé¾î URI(Uniform Resourcce Identifier, ÅëÇÕ ÀÚ¿ø ½Äº°ÀÚ)´Â MyProfileSettingsActivity¿¡¼­ ƯÁ¤ À¥»çÀÌÆ®¸¦ ·ÎµåÇÑ´Ù. ÇÏÁö¸¸ URI´Â »èÁ¦µÇÁö ¾Ê¾Æ ÀáÀçÀûÀ¸·Î ¸ðµç ¾Û ±¸¼º¿ä¼Ò¿¡ ¾×¼¼½ºÇÒ ¼ö ÀÖ´Ù.

¶ÇÇÑ Authorization HTTP Çì´õ¿¡¼­ ¾×¼¼½º ÅäÅ«ÀÌ À¯ÃâµÈ´Ù. ÀÌ´Â CommerceBuyActivity ³»¿¡¼­ ÀÚü ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÏ´Â ¹æ¹ýÀ» ãÀ¸¸é »ç¿ëÀÚÀÇ ¾×¼¼½º ÅäÅ«À» ÈÉÄ¡°í »ç¿ëÀÚ°¡ ¾Ç¼º kakaotalk://buy µö¸µÅ©¸¦ Ŭ¸¯ÇÒ ¶§ ÀÓÀÇÀÇ ¾Û ±¸¼º ¿ä¼Ò¸¦ ½ÃÀÛÇÒ ¼ö ÀÖ´Â ´É·ÂÀ» °®°Ô µÈ´Ù´Â °ÍÀ» ÀǹÌÇÑ´Ù. ÀÌ ¿¬±¸¿øÀº ÇöÀç ÀϺΠ°ËÁõÀÌ ÁøÇàµÇ°í Àֱ⠶§¹®¿¡ °ø°ÝÀÚ°¡ Á¦¾îÇÏ´Â ​​ÀÓÀÇÀÇ URLÀ» ·ÎµåÇÒ ¼ö ¾ø´Ù°í ¼³¸íÇß´Ù.

Äڵ带 »ìÆ캸¸é °æ·Î, Äõ¸® ¸Å°³º¯¼ö¿Í URL Á¶°¢À» Á¦¾îÇÑ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. Ä«Ä«¿ÀÅåÀ» »ç¿ëÇÏ´Â ¸ðµç Ç׸ñ¿¡´Â ¡®m36725d¡¯¶ó´Â ¹®ÀÚ¿­ÀÌ Á¢µÎ¾î·Î ºÙ´Â´Ù. µû¶ó¼­ »ç¿ëÀÚ°¡ µö¸µÅ©¸¦ Ŭ¸¯Çϸé buy[.]kakao[.]com/foo°¡ CommerceBuyActivity À¥ºä¿¡ ·ÎµåµÈ´Ù.

ÀÌ ¿¬±¸¿øÀº ¡°°ø°ÝÀÚ´Â ÀÓÀÇÀÇ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ½ÇÇàÇØ »ç¿ëÀÚÀÇ ¾×¼¼½º ÅäÅ«À» Å»ÃëÇÒ ¼ö ÀÖ´Ù. ±×¸®°í ¾ÇÀÇÀûÀÎ µö¸µÅ©¸¦ Á¦ÀÛÇØ ÅäÅ«À» °ø°ÝÀÚ°¡ Á¦¾îÇÏ´Â ¼­¹ö·Î º¸³¾ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.

¡ãCVE ȨÆäÀÌÁö¿¡ ¼Ò°³µÈ CVE-2023-51219 ¾È³»[ÀÚ·á=CVE ȨÆäÀÌÁö]


°³³äÁõ¸í ÅëÇÑ °ø°Ý ´Ü°è »ìÆ캸´Ï
À©µµ¿Í ¸Æ OS¿ë Ä«Ä«¿ÀÅåÀ̳ª ¿ÀǼҽº Ŭ¶óÀ̾ðÆ®ÀÎ Å°À§ÅäÅ©(KiwiTalk)¸¦ ÇÇÇØÀÚÀÇ °èÁ¤¿¡ µî·ÏÇØ ºñ Á¾´Ü°£ ¾ÏȣȭµÈ äÆà ¸Þ½ÃÁö¸¦ Àд °ÍÀ¸·Î °³³äÁõ¸íÀ» Çß´Ù. ¸ÕÀú °ø°ÝÀÚ°¡ ¾ÇÀÇÀûÀÎ µö¸µÅ©¸¦ ÁغñÇϱâ À§ÇØ ÆÄÀÏ¿¡ ÆäÀ̷ε带 ÀúÀå, HTTP ¼­¹ö¸¦ ½ÃÀÛÇÏ°í ´Ù¸¥ Å͹̳Πâ¿¡¼­ Netcat(TCP/UDP ÇÁ·ÎÅäÄÝ·Î ¿¬°áµÈ ³×Æ®¿öÅ©»ó¿¡¼­ ƯÁ¤ ´ë»ó°ú µ¥ÀÌÅ͸¦ ¼Û¼ö½ÅÇÏ°Ô ÇØÁÖ´Â À¯Æ¿¸®Æ¼) ¼ö½Å±â¸¦ ¿¬´Ù.

´ÙÀ½À¸·Î °ø°ÝÀÚ´Â URLÀ» Àü¼Û, ÇÇÇØÀÚ°¡ Ŭ¸¯ÇÒ ¶§±îÁö ±â´Ù¸°´Ù. ±×¸®°í ¾×¼¼½º ÅäÅ«ÀÌ Netcat ¼ö½Å±â¿¡¼­ À¯ÃâµÇ¸é, °ø°ÝÀÚ´Â ¾×¼¼½º ÅäÅ«À» »ç¿ëÇØ ÇÇÇØÀÚÀÇ ºñ¹Ð¹øÈ£¸¦ Àç¼³Á¤ÇÑ´Ù. ¸¶Áö¸·À¸·Î °ø°ÝÀÚ´Â ÇÇÇØÀÚÀÇ Ä«Ä«¿ÀÅå °èÁ¤À» ÀÚ½ÅÀÇ ±â±â·Î µî·ÏÇÒ ¼ö ÀÖ´Ù.

ÀÌ ¿¬±¸¿øÀº ¡°»ç¿ëÀÚÀÇ ¸Þ½ÃÁö¸¦ ÈÉÄ¡±â À§ÇØ ¸Å¿ì º¹ÀâÇÑ ÀͽºÇ÷ÎÀÕ Ã¼ÀÎÀÌ ÇÊ¿äÇÏÁö ¾ÊÀº Àαâ Àִ äÆà ¾ÛÀÌ ¿©ÀüÈ÷ ¸¹ÀÌ ÀÖ´Ù¡±¸ç ¡°¾Û °³¹ßÀÚ°¡ »ç¼ÒÇÑ ½Ç¼ö¸¦ ÀúÁö¸¥´Ù¸é ¾Èµå·ÎÀ̵忡¼­ Á¦°øÇÏ´Â °­·ÂÇÑ º¸¾È ¸ðµ¨°ú ¸Þ½Ã¡ ¾Ïȣȭµµ ¹«¿ëÁö¹°ÀÌ µÉ ¼ö¹Û¿¡ ¾ø´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°¿©·¯ º¸¾È Ä¿¹Â´ÏƼ¿¡¼­ ¾Æ½Ã¾ÆÀÇ Ã¤Æà ¾ÛµéÀº Àß µå·¯³ªÁö ¾Ê¾Æ ÀÌ °°Àº »ç½ÇÀ» ¾Ë±â Èûµé´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

Çö»óÈÆ 2024.06.29 15:07

¸®Æ÷ƼÀú¸® -> ¸®Æ÷ÁöÅ͸®


  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)