보안 연구원이 ASUS MyAsus 소프트웨어에서 심각한 취약성을 발견했습니다. 2022년 8월 이후 수백만 개의 사용자 계정 정보가 유출되었을 가능성이 있습니다. 관리자 권한을 가진 하드코딩된 암호화된 자격 증명으로 인해 이름, 생년월일, 전화번호, 주소, 지원 티켓 내용, RMA 요청 등의 민감한 데이터에 액세스할 수 있었습니다. 연구원은 ASUS에 책임감 있게 취약성을 공개했으며, 5월에 패치되었습니다. 이는 소프트웨어 보안의 중요성과 기업의 보안 연구원에 대한 더 나은 인센티브의 필요성을 강조합니다.
더 보기
보안 연구원이 ASUS의 사전 설치된 DriverHub 소프트웨어에 심각한 취약점이 있어 원클릭으로 원격 코드 실행(RCE)이 가능하다는 것을 발견했습니다. 이 취약점은 안전하지 않은 RPC 처리로 인해 발생하며, 공격자가 출처 확인을 우회하고 관리자 권한으로 임의의 코드를 실행할 수 있도록 합니다. 연구원은 책임감 있는 방식으로 이 결함을 보고했으며, ASUS는 그 후 패치를 출시했습니다. 중요한 점은 이것이 ASUS 마더보드뿐만 아니라 DriverHub가 설치된 모든 시스템에 영향을 미친다는 것입니다. 연구원이 제공한 자세한 악용 체인은 이 취약점의 심각성과 잠재적 영향을 강조합니다.
더 보기
보안 연구원이 뉴질랜드 앱 KiwiServices에서 심각한 데이터베이스 취약성을 발견했습니다. 간단한 HTTP 요청을 조작하여 인증을 우회하고 전체 사용자 데이터베이스에 접근하여 이름, 이메일 주소, 전화번호 등의 민감한 정보를 노출했습니다. 연구원은 책임감 있는 공개를 했고, KiwiServices는 30일 이내에 취약성을 수정했습니다. 이는 보안 테스트와 신속한 패치 적용의 중요성을 보여줍니다.
더 보기