WinRAR 유틸리티에서 윈도우 시스템 원격 코드를 실행할 수 있는 높은 심각도의 보안 결함이 발견되었다고 더해커뉴스가 보도했다.
CVE-2023-40477(CVSS 점수: 7.8)로 추적된 이 취약점은 복구 볼륨을 처리하는 동안 잘못된 유효성 검사로 인한 문제이다.
이 문제는 사용자 제공 데이터에 대한 적절한 검증이 부족하여 할당된 버퍼 끝을 지나 메모리 액세스가 발생할 수 있다. 공격자는 이 취약점을 이용하여 현재 프로세스의 컨텍스트에서 코드를 실행할 수 있다.
이 결함에 대한 공격이 성공하려면 대상을 유인하여 악의적인 페이지를 방문하거나 조작된 아카이브 파일을 열어야 하므로 사용자 상호 작용이 필요하다.
사용자는 잠재적 위협을 완화하기 위해 최신 버전으로 업데이트 해야 안전할 수 있다.
◆하반기 최대 정보보호 컨퍼런스 PASCON 2023 개최-보안교육7시간 이수 가능
○ 주최: 데일리시큐
○ 후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회, 한국화웨이
○ 참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업 정보보호 담당자, 개인정보보호 담당자, IT담당자 등 1,000여 명 참석
(※보안실무자가 아니면 참석금지)
○ 일시: 2023년 9월 5일 화요일(오전9시~오후5시30분)
○ 장소: 더케이호텔서울 2층 가야금홀 전관
○ 솔루션전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션
○ 참가기업 : △한국화웨이 △좋을 △블랑코코리아 △클라우드네트웍스 △굿모닝아이텍 △노르마 △오픈텍스트 △넥스원소프트 △모니터랩 △옥타코 △트렌드마이크로 △지란지교에스앤씨 △파수 △롤텍 △아이티원 △이지시큐 △엠클라우독 △퓨쳐시스템 △씨디네트웍스 △센티널테크놀로지 △다크트레이스(Darktrace) △지란지교데이터 △에프원시큐리티 △에스에스알 △인스피언 △스콥정보통신 △한국전자인증 △디지서트 △엘세븐시큐리티 △트리니티소프트 △스냅태그 △KISIA
○ 보안교육인증: 공무원 및 기업 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간 수료증 발급
○ 참석문의: 데일리시큐 길민권 기자/ mkgil@dailysecu.com
○ 사전등록: 클릭
○ 공공, 기업 보안책임자/실무자가 아니면 참석이 금지됩니다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★