CVE-2015-3438, CVE-2014-9736 

[보안뉴스 주소형] 현지 시각으로 8월 10일, 우리나라 시간으로는 대략 10일에서 11일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-5962

Mozilla Firefox OS 2.2 이전 버전의 SharedBufferManagerParent::RecvAllocateGrallocBuffer 기능의 Integer signedness 취약점으로 그래픽에서 버퍼 관리가 제대로 실행되지 않게 해줍니다. 이는 공격자가 사이즈 매개변수의 부정 값을 통해 서비스 거부를 할 수 있게 해줍니다. 

2. CVE-2015-4674

윈도우 상에서 TimeDoctor Pro 1.4.72.3 버전에서 발견된 자동업데이트 실행 취약점으로 SSL 사용 없이 중간 공격자가 조작된 파일을 통해 임의의 코드를 실행할 수 있게 해줍니다. 

3. CVE-2015-3438

WordPress 4.1.2 이전 버전에서 발견된 다수의 XSS 취약점으로 별도의 까다로운 모드 없이 MySQL을 사용할 때, 공격자가 원격에서 1) 네 개 바이트의 UTF-8 캐릭터, 2) 데이터베이스 계층에서 인식 불가능한 캐릭터를 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다.

4. CVE-2014-9736

GE Healthcare Centricity Clinical Archive Audit Trail Repository에서 발견된 initinit의 디폴트 암호에서 발견된 취약점으로 1) SSL 키 매니져, 2) 서버 키스토어, 3) 키스토어 암호, 4) 주요 저장 데이터베이스, 5) 아카이브 저장 데이터베이스를 통해 명시되지 않은 충격과 공격 벡터를 가할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>