메뉴 건너뛰기

오에스매니아 My Image 4월20일 장애인의 날

Apple macOS High Sierra Exploit Lets Hackers Steal Keychain Passwords in Plaintext


애플이 어제 macOS의 새로운 버전인 High Sierra 10.13을 공개했습니다. 이는 전 NSA 해커가 High Sierra 및 이전 버전의 macOS에 영향을 미치는 치명적인 취약점을 공개하기 단 몇시간 전에 공개 된 것으로 나타났습니다.


전 NSA 해커인 한 보안 연구원이 macOS에서 설치 된 어떤 프로그램이라도 Mac 키 체인에 저장 된 온라인 계정의 사용자 계정과 순수 텍스 형태의 패스워드를 훔칠 수 있도록 허용하는 치명적인 제로데이 취약점을 발견했습니다.


macOS 키체인은 애플 사용자들이 프로그램, 서버, 웹사이트, 암호화 키, 신용카드 번호 등의 패스워드들을 안전하게 저장할 수 있는 내장 된 패스워드 관리 시스템입니다. 이 비밀번호들은 사용자가 정의한 마스터 패스워드가 있어야만 접근이 가능합니다.


일반적으로 응용 프로그램들은 사용자가 마스터 패스워드를 입력하기 전까지는 키체인의 내용에 접근할 수 없습니다.


연구원은 “권한이 없는 악성 코드(또는 프로그램)가 키 체인에 접근해 순수 텍스트 형식의 패스워드들을 포함한 모든 데이터를 덤프할 수 있는 결점을 발견했습니다. 이는 일어나서는 안되는 일입니다.”고 밝혔습니다.


그리고 사용자가 마스터 패스워드를 입력하지 않아도 키체인으로부터 순수 텍스트 형태의 패스워드를 추출하는 것을 시연하는 PoC 영상을 공개했습니다.


영상은 서명 여부에 상관없이 설치 된 악성 프로그램을 통해 공격자가 원격으로 키체인에 저장 된 모든 패스워드를 훔치며, 사용자에게 공격을 알리지도 않는 것을 보여줍니다.


애플은 오늘 “macOS는 기본적으로 안전하며, Gatekeeper는 사용자들에게 서명 되지 않은 프로그램이 설치 되었을 때 경고해 명시적 승인 없이는 해당 프로그램을 실행할 수 없도록 합니다.”


“사용자들은 Mac App Store와 같은 신뢰할 수 있는 출처의 소프트웨어들만을 다운로드 하고, macOS가 보여주는 보안 대화창에 주의를 기울여야 합니다.”고 밝혔습니다.


http://blog.alyac.co.kr/1354

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

Bobono

2017.10.10 08:15
가입일: 2016:12.05
총 게시물수: 15
총 댓글수: 811

과연 '신뢰할 수 있는 출처'가 있을까요?

profile

루인루

2017.12.07 00:40
가입일:
총 게시물수: 1
총 댓글수: 109

정보 잘 읽고갑니다

profile

mantoman

2017.12.27 16:46
가입일:
총 게시물수: 0
총 댓글수: 189

좋은자료 고맙습니다.

profile

suhyou

2018.01.20 15:46
가입일:
총 게시물수: 1
총 댓글수: 786
좋은 정보 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 190
353 보안 소식 인터넷 팝업 광고창에 피싱 페이지 노출…사용자 페이스북 계정 정보 탈취 시도 부니기 02-22 135
352 보안 소식 인니 해커들의 국내 홈피 해킹 일지! 속수무책 당해야만 하나 + 9 ordo 04-25 90
351 보안 소식 인공지능의 위협보다 '오류 가능성' 더 걱정해야 + 5 덕애 10-14 219
350 보안 소식 이제 비행기 티켓도 해커들의 먹잇감 되나 file + 6 따봉 01-04 29
349 보안 소식 이스트소프트 '알툴즈' 개인정보 유출. file + 13 파란하늘 09-06 124
348 보안 소식 이스라엘 보안전문가가 삼성 타이젠 OS에서 심각한 보안 취약점을 발견했다 + 5 프리네 04-05 63
347 보안 소식 이번엔 인도네시아 해커의 공습? 21개 웹사이트 디페이스 공격 + 5 ordo 04-06 64
346 보안 소식 이번엔 '매트릭스' 랜섬웨어 …"4일 후엔 복구 불가"협박 + 9 크로커스 07-07 159
345 보안 소식 이력서로 위장한 ‘시그마 랜섬웨어’ 전세계 유포 + 7 파란하늘 03-27 378
344 보안 자료 은행 사칭한 사기 대출 문자 기승 file 트라노 03-19 37
343 보안 소식 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 + 9 크로커스 02-24 112
342 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 633
341 보안 소식 윈도우 작업 스케쥴러 제로데이를 악용하는 악성코드 발견 + 1 티오피 09-08 145
340 바이러스 윈도우 계정 암호 탈취 도구 미미캐츠의 정체와 방어법 + 1 루시드림 03-08 123
339 보안 소식 윈도우 10 업그레이드 시 Shift+F10 누르면 공격 가능 file + 16 따봉 12-06 246
338 보안 소식 윈도우 10 KB4100347 인텔 CPU 업데이트, 부팅 이슈 발생 및 AMD 사용자들에게도 배포 돼 + 2 티오피 08-31 347
337 보안 소식 웹을 통한 ‘크립토럭’ 랜섬웨어 국내 유포 주의 + 24 크로커스 11-16 416
336 보안 소식 원조 해커는 전기기차 속도를 높이려는 모범생이었다 + 13 구름 02-03 397
335 보안 소식 왓츠앱 통한 멀웨어 공격, 인도가 첫 스타트 끊어 file + 6 따봉 01-04 44
334 보안 소식 와이파이 장악하는 악성 트로이목마, 스위처 등장 file + 8 따봉 01-04 79
333 보안 소식 옵스왓, HWP한글 문서 파일로 위장한 랜섬웨어, APT공격 등에 대응할 수 있는 ‘데이터 살균(CDR) 기술’ 추가 + 8 j1159 03-15 27
332 보안 소식 올 하반기 보안업계 M&A와 MOU 보니...2017년 트렌드 보인다 file + 7 따봉 12-27 21
331 보안 소식 올 하반기 보안업계 M&A와 MOU 보니...2017년 트렌드 보인다 file + 7 따봉 01-03 26
330 백신 자료 영국 소포스 홈 안티바이러스 무료 + 6 j1159 02-25 110
329 보안 소식 연말정산 문서 함부로 열었다간 랜섬웨어 감염 + 7 크로커스 12-28 118
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.