CVE-2016-1489, CVE-2016-1490, CVE-2016-1491
CVE-2016-1492, CVE-2016-1567

[보안뉴스 문가용] 현지 시각으로 1월 26일, 우리나라 시간으로는 대략 26일에서 27일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1489
레노보 SHAREit 3.2.0 이전 버전(윈도우용)과 3.5.48_ww 이전 버전(안드로이드용)에 있는 취약점으로 파일을 전송할 때 평범한 텍스트로 한다. 원격의 공격자가 1) 네트워크를 스니핑 해서 민감한 정보를 탈취할 수 있게 해주거나 2) 중간자 공격을 감행할 수 있게 해준다.

2. CVE-2016-1490
레노보 SHAREit 3.2.0 이전 버전(윈도우용)의 와이파이 핫스팟에 있는 취약점으로 원격의 공격자가 조작된 파일 요청을 /list에 보냄으로써 민감한 파일 이름을 취득할 수 있게 해준다.

3. CVE-2016-1491
레노보 SHAREit 3.2.0 이전 버전(윈도우용)의 와이파이 핫스팟에 있는 취약점으로 파일을 받을 수 있도록 설정해 놓을 때 암호 12345678가 하드코딩 된다. 이는 원격의 공격자가 WLAN의 범위 내에서 접근권한을 얻을 수 있도록 해준다.

4. CVE-2016-1492
레노보 SHAREit 3.5.45_ww 이전 버전(안드로이드용)에 있는 취약점으로 파일을 받을 수 있도록 설정해 놓을 때 암호를 필요로 하지 않는다. 원격의 공격자가 WLAN 범위 내에서 접근 권한을 얻기 매우 쉽다.

5. CVE-2016-1567
chrony 1.31.2 이전 버전과 2.2.1 이전의 2.x 버전에 있는 취약점으로 패킷을 인증할 때 대칭 키의 peer association을 확인하지 않는다. 이로써 원격의 공격자가 임의의 신뢰받는 키를 삽입해 일반 사용자인냥 위장할 수 있다. (일명 스켈레톤 키)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>