CVE-2015-4497, CVE-2015-4498

[보안뉴스 주소형] 현지 시각으로 8월 30일, 우리나라 시간으로는 대략 30일에서 31일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-3966

firmware 8.x, 8.1.7 이전 버전의 Innominate mGuard 기기 상에서 발견된 IPsec SA 설립 프로세스 취약점으로 인증된 사용자가 원격에서 조작된 환경설정 전송으로의 관계를 레버리징 시킴으로서 서비스 거부를 할 수 있게 해줍니다. 

2. CVE-2015-4555

TIBCO Rendezvous 8.4.4 이전 버전, Rendezvous Network Server 1.1.1 이전 버전, Substation ES 2.9.0 이전 버전, Messaging Appliance 8.7.2 이전 버전의 HTTP 관리 인터페이스에서 발견된 버퍼 오버플로우 취약점으로 공격자가 원격에서 명시되지 않은 벡터를 통해 임의의 코드 실행이나 서비스 거부를 할 수 있게 해줍니다.

3. CVE-2015-5698

Siemens SIMATIC S7-1200 CPU 기기의 웹 서버에서 발견된 CSRF 취약점으로 공격자가 원격에서 알려지지 않은 벡터를 통해 명시되지 않은 피해자의 인증을 납치할 수 있게 해줍니다.

4. CVE-2015-4497

Mozilla Firefox 40.0.3 이전 버전 및 Firefox ESR 38.x, 38.2.1 이전 버전의 CanvasRenderingContext2D 실행에서 발견된 Use-after-free 취약점으로 공격자가 원격에서 비정상적인 상호작용을 레버리징 시킴으로서 임의의 코드를 실행할 수 있게 해줍니다.

5. CVE-2015-4498

Mozilla Firefox 40.0.3 이전 버전 및 Firefox ESR 38.x, 38.2.1 이전 버전의 add-on 설치 기능에서 발견된 취약점으로 공격자가 원격에서 조작된 데이터 구성을 통해 사용자 승인 요청을 통해 우회할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>