세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
어도비도 패치 튜즈데이! 총 10가지 취약점 해결
  |  입력 : 2018-09-12 14:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
9월 업데이트...플래시에서 하나, 콜드퓨젼에서 9개 발견돼

[보안뉴스 문가용 기자] 어도비(Adobe)가 패치 튜즈데이를 통해 9월분 업데이트를 발표했다. 플래시 플레이어(Flash Player)와 콜드퓨젼(ColdFusion)에서 발견된 10가지 취약점이 다뤄졌다. 하지만 이 중 대단히 심각해 보이는 건 없었다고 한다.

[이미지 = iclickart]


플래시 플레이어에서 발견된 보안 구멍은 하나로, CVE-2018-15967이다. 권한 상승을 통한 정보 공개 취약점으로, 어도비는 이번에 발표된 플래시 플레이어 31.0.0.108 버전을 통해 해결했다.

이 취약점은 마이크로소프트의 침해 대응 센터가 발견해 어도비에 알린 것으로, ‘중요 등급’의 위험도를 가진 것으로 밝혀졌다. 어도비가 선정한 우선순위 점수는 2로, 공격자들이 실제 활용할 가능성은 거의 없다.

나머지 9개 취약점들은 전부 콜드퓨젼에서 발견된 것이었다. 일부는 임의 코드 실행을 야기하는 비직렬화 관련 문제였다. 또한 아무 코드 실행을 가능케 하는 무한 파일 업로드 버그도 해결됐다. 이 마지막 버그의 경우, 치명적인 위험도를 가진 것으로 나타났다.

그 외에도 치명적인 위험도를 가진 것으로 분석된 문제가 있었다. 공격자들이 임의의 파일을 덮어쓰기 할 수 있게 해주는 것으로, 어떤 요소에서 발견된 것인지 어도비가 정확하게 밝히지 않고 있다.

그 외 두 가지 취약점은 ‘중요 등급’을 받았다. 공격자가 익스플로잇 할 경우 임의의 폴더를 생성해 디렉토리 목록을 얻어낼 수 있게 해주는 취약점들이라고 한다.

콜드퓨젼에는 정보를 노출시키는 중간 등급 위험도의 취약점도 있었다. 이 취약점은 이미 알려진 오류를 통해 발동될 수 있는 것이라고 한다.

이러한 오류들을 어도비에 알린 건 MS외에도 코드 화이트(Code White), 비너스테크애드랩(Venustech-Adlab), 파운디오(Foundeo), 코그니투스(Cognitous)라고 어도비는 공개하며 감사의 뜻을 전하기도 했다.

위 보안 취약점들은 콜드퓨젼 11 2016과 2018 버전 모두에서 발견되며, 어도비는 각 버전의 업데이트 방법을 상세하게 설명했다.

2줄 요약
1. 어도비 9월 패치 발표. 플래시 플레이어에서 1개, 콜드퓨젼에서 9개 해결.
2. 대단히 위험한 취약점은 두 개 정도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)