Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

Apple macOS High Sierra Exploit Lets Hackers Steal Keychain Passwords in Plaintext


애플이 어제 macOS의 새로운 버전인 High Sierra 10.13을 공개했습니다. 이는 전 NSA 해커가 High Sierra 및 이전 버전의 macOS에 영향을 미치는 치명적인 취약점을 공개하기 단 몇시간 전에 공개 된 것으로 나타났습니다.


전 NSA 해커인 한 보안 연구원이 macOS에서 설치 된 어떤 프로그램이라도 Mac 키 체인에 저장 된 온라인 계정의 사용자 계정과 순수 텍스 형태의 패스워드를 훔칠 수 있도록 허용하는 치명적인 제로데이 취약점을 발견했습니다.


macOS 키체인은 애플 사용자들이 프로그램, 서버, 웹사이트, 암호화 키, 신용카드 번호 등의 패스워드들을 안전하게 저장할 수 있는 내장 된 패스워드 관리 시스템입니다. 이 비밀번호들은 사용자가 정의한 마스터 패스워드가 있어야만 접근이 가능합니다.


일반적으로 응용 프로그램들은 사용자가 마스터 패스워드를 입력하기 전까지는 키체인의 내용에 접근할 수 없습니다.


연구원은 “권한이 없는 악성 코드(또는 프로그램)가 키 체인에 접근해 순수 텍스트 형식의 패스워드들을 포함한 모든 데이터를 덤프할 수 있는 결점을 발견했습니다. 이는 일어나서는 안되는 일입니다.”고 밝혔습니다.


그리고 사용자가 마스터 패스워드를 입력하지 않아도 키체인으로부터 순수 텍스트 형태의 패스워드를 추출하는 것을 시연하는 PoC 영상을 공개했습니다.


영상은 서명 여부에 상관없이 설치 된 악성 프로그램을 통해 공격자가 원격으로 키체인에 저장 된 모든 패스워드를 훔치며, 사용자에게 공격을 알리지도 않는 것을 보여줍니다.


애플은 오늘 “macOS는 기본적으로 안전하며, Gatekeeper는 사용자들에게 서명 되지 않은 프로그램이 설치 되었을 때 경고해 명시적 승인 없이는 해당 프로그램을 실행할 수 없도록 합니다.”


“사용자들은 Mac App Store와 같은 신뢰할 수 있는 출처의 소프트웨어들만을 다운로드 하고, macOS가 보여주는 보안 대화창에 주의를 기울여야 합니다.”고 밝혔습니다.


http://blog.alyac.co.kr/1354

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

Bobono

2017.10.10 08:15
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

과연 '신뢰할 수 있는 출처'가 있을까요?

profile

루인루

2017.12.07 00:40
가입일:
총 게시물수: 1
총 댓글수: 104

정보 잘 읽고갑니다

profile

mantoman

2017.12.27 16:46
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다.

profile

suhyou

2018.01.20 15:46
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 578
395 보안 자료 인텔 CPU서 새로운 보안 취약점 발견…구형일수록 ‘위험’ + 2 소금과빛 05-22 103
394 일반 인터폴, 아세안 지역서 C&C 서버 9000여개 적발 + 8 ordo 04-27 160
393 보안 소식 인터넷뱅킹용 액티브X 보안 모듈, 악성코드 유포 통로! 금융권 초비상 file + 10 따봉 12-06 101
392 보안 소식 인터넷 팝업 광고창에 피싱 페이지 노출…사용자 페이스북 계정 정보 탈취 시도 부니기 02-22 195
391 보안 소식 인니 해커들의 국내 홈피 해킹 일지! 속수무책 당해야만 하나 + 9 ordo 04-25 128
390 보안 소식 인공지능의 위협보다 '오류 가능성' 더 걱정해야 + 5 덕애 10-14 261
389 보안 소식 이진규 네이버 CISO "국내 데이터 규제, GDPR 보다 심각" + 3 돌까루 06-05 379
388 보안 소식 이제 비행기 티켓도 해커들의 먹잇감 되나 file + 6 따봉 01-04 57
387 보안 소식 이스트소프트 '알툴즈' 개인정보 유출. file + 13 파란하늘 09-06 158
386 보안 소식 이스라엘 보안전문가가 삼성 타이젠 OS에서 심각한 보안 취약점을 발견했다 + 5 프리네 04-05 107
385 보안 소식 이번엔 인도네시아 해커의 공습? 21개 웹사이트 디페이스 공격 + 5 ordo 04-06 100
384 보안 소식 이번엔 '매트릭스' 랜섬웨어 …"4일 후엔 복구 불가"협박 + 9 크로커스 07-07 190
383 보안 소식 이력서로 위장한 ‘시그마 랜섬웨어’ 전세계 유포 + 7 파란하늘 03-27 469
382 일반 유명 인스타그램 사용자들의 개인정보 다량으로 유출 루릿페 05-27 63
381 보안 소식 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 + 9 크로커스 02-24 205
380 보안 소식 유니클로 모회사, 사이버공격당해 46만명 이상 고객 데이터 유출 kargans 05-27 32
379 보안 소식 윈도우10 로컬 권한상승 제로데이 취약점 온라인에 공개돼 kargans 05-24 97
378 보안 소식 윈도우 취약점 악용한 랜섬웨어 ‘Sodin’ 한국도 노렸다 file anonymous 09-24 362
377 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 730
376 보안 소식 윈도우 작업 스케쥴러 제로데이를 악용하는 악성코드 발견 + 1 티오피 09-08 217
375 바이러스 윈도우 계정 암호 탈취 도구 미미캐츠의 정체와 방어법 + 1 루시드림 03-08 221
374 보안 소식 윈도우 10 업그레이드 시 Shift+F10 누르면 공격 가능 file + 16 따봉 12-06 267
373 보안 소식 윈도우 10 KB4100347 인텔 CPU 업데이트, 부팅 이슈 발생 및 AMD 사용자들에게도 배포 돼 + 2 티오피 08-31 486
372 보안 소식 윈도에 'PC 제어권' 통째로 빼앗길 취약점 있다 + 1 파란하늘 06-15 517
371 보안 소식 웹을 통한 ‘크립토럭’ 랜섬웨어 국내 유포 주의 + 24 크로커스 11-16 461