CVE-2016-0034, CVE-2016-0035, CVE-2015-8466
CVE-2015-8607, CVE-2016-1494

[보안뉴스 문가용] 현지 시각으로 1월 13일, 우리나라 시간으로는 대략 13일에서 14일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-0034
마이크로소프트의 Silverlight 5.1.41212.0 이전의 5 버전에 있는 취약점으로 디코딩 중에는 네거티브 오프셋을 잘못 처리한다. 이로써 원격의 공격자가 임의의 코드를 실행하거나 DoS 공격을 감행할 수 있게 된다. Silverlight Runtime Remote Code Execution Vulnerability라고도 불린다.

2. CVE-2016-0035
마이크로소프트의 엑설 2007 SP3, 엑셀 2010 SP2, 엑셀 2013 SP1, RT SP1, 엑셀 2016, 맥용 엑셀 2011, 2016, Office Compatibility Pack SP3, 엑셀 뷰어에 있는 취약점으로 원격의 공격자가 조작된 오피스 문서파일을 가지고 임의의 코드를 실행할 수 있게 된다. Microsoft Office Memory Corruption Vulnerability라고도 불린다.

3. CVE-2015-8466
Swift3 1.9 이전 버전에 있는 취약점으로 원격의 공격자가 Date 헤더 없이 인증 요청을 함으로써 리플레이 공격을 할 수 있게 된다.

4. CVE-2015-8607
Perl의 PathTools 3.6.2 이전 버전의 File::Spec 모듈 안에 있는 canonpath 함수에 있는 취약점으로 데이터의 taint attribute를 잘 저장하지 못한다. 이로써 컨텍스트에 근간을 둔 공격자가 taint protection 메커니즘을 우회할 수 있게 된다.

5. CVE-2016-1494
Python 3.3 이전 버전에 있는 RSA 패키지의 verify 함수에 있는 취약점으로 공격자들이 작은 공개 exponent의 시그니처를 스푸핑할 수 있게 해준다. 이를 BERserk 공격이라고 부르기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>