TouchEn nxKey 취약점 공개 되었네요.

페이지 정보

작성자 나는나



자세한 내용은 위 링크를 참조하시면 되겠습니다.

글에 포함된 일부 단락을 가져오면,

I reported all the vulnerabilities to KrCERT on October 4th, 2022. I still tried to contact some RaonSecure executives directly but received no response. At least KrCERT confirmed forwarding my reports to RaonSecure roughly two weeks later. They also noted that RaonSecure asked for my email address and wanted to contact me. They never did.

And that’s it. The 90 days disclosure deadline was a week ago. TouchEn nxKey was apparently released on October 4th, 2022, the same day I reported these vulnerabilities. At the time of writing it remains the latest release, and all the vulnerabilities described here are still present in it. The latest version of the TouchEn browser extension used by millions of people is still five years old, released in January 2018.

해당 업체와 직접 연락을 시도했으나 회사 연락처 이외에 자신이 보안 관련 문제를 제보할만한 연락처도 없어서

KrCERT에서 제공하는 외국인 보고 서비스를 이용해서 10월에 보고했다고 합니다.

그리고 KrCERT에서 라온 시큐어(해당 업체)로 보고서를 넘겼다는 보고를 받았고, 라온 시큐어측에서도 KrCERT에 직접 이메일 주소를 묻고 그와 연락해보겠다고 고지했다고 KrCERT 측에게 들었다네요. 근데 결국 연락은 전혀 없었고 90일이 넘어서 취약점 공개했다고 합니다.

최근에 배포한 최신 버전의 TouchEn nxKey에서도 해당 취약점은 고쳐지지 않았다고 합니다.


  • 등록된 댓글이 없습니다.