Home > 전체기사
어도비, 정기 패치일 통해 총 18개의 취약점 패치해
  |  입력 : 2020-09-09 11:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
18개 취약점 중 12개가 치명적인 위험도를 가져...시급한 패치 필요
엑스페리언스 매니저, 프레임메이커, 인디자인이 이번 달의 주의 요망 소프트웨어


[보안뉴스 문가용 기자] 어도비가 9월 정기 패치일을 맞아 총 18개의 취약점들을 공개 및 해결했다. 치명적인 위험도를 가진 취약점들이 상당수라고 한다. 엑스페리언스 매니저(Experience Manager)라는 콘텐츠 관리 솔루션에서 나온 치명적 취약점은 무려 5개로, 성공적으로 익스플로잇 했을 때 공격자는 피해자의 브라우저에서 자바스크립트를 실행할 수 있게 된다.

[이미지 = utoimage]


엑스페리언스 매니저 외에 어도비 프레임메이커(Adobe Framemaker)와 인디자인(InDesign)에서도 여러 가지 취약점들이 나왔다. 이 세 가지 애플리케이션들은 광범위하게 사용되다 보니 이 18개의 취약점을 익스플로잇하는 데 성공할 경우 공격자는 기밀 유출, 횡적 움직임, 정보 가로채기 등을 손쉽게 할 수 있게 된다고 오토목스(Automox)의 리차드 멜릭(Richard Melick)은 설명한다.

엑스페리언스 매니저에서 발견된 치명적 취약점은 다음과 같다.
1) CVE-2020-9732 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
2) CVE-2020-9742 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
3) CVE-2020-9741 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
4) CVE-2020-9740 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
5) CVE-2020-9734 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐

그 외 엑스페리언스 매니저에서는 총 6개의 중요급 취약점이 발견됐었다.
1) CVE-2020-9733 : 민감 정보 노출
2) CVE-2020-9735 : XSS 오류
3) CVE-2020-9736 : XSS 오류
4) CVE-2020-9737 : XSS 오류
5) CVE-2020-9738 : XSS 오류
6) CVE-2020-9743 : HTML 주입 취약점

어도비 프레임메이커에서는 2개의 치명적 취약점이 발견됐다.
1) CVE-2020-9726 : 아웃 오브 바운즈 리드(out-of-bounds read), 임의 코드 실행으로 이어질 수 있다.
2) CVE-2020-9725 : FM 파일의 확인 및 점검 오류, 임의 코드 실행으로 이어질 수 있다.

인디자인에서는 다섯 개의 치명적인 취약점들이 발견됐다.
1) CVE-2020-9727 : 현재 사용자 컨텍스트에서 임의 코드 실행
2) CVE-2020-9728 : 현재 사용자 컨텍스트에서 임의 코드 실행
3) CVE-2020-9729 : 현재 사용자 컨텍스트에서 임의 코드 실행
4) CVE-2020-9730 : 현재 사용자 컨텍스트에서 임의 코드 실행
5) CVE-2020-9731 : 현재 사용자 컨텍스트에서 임의 코드 실행

어도비는 “아직까지 취약점들에 대한 실제 익스플로잇을 발견하지 못했다”고 발표했다.

3줄 요약
1. 어도비의 정기 패치일, 이번 달은 총 18개의 취약점이 패치됨.
2. 어도비 엑스페리언스 매니저에서 가장 많은 치명적 취약점 나옴.
3. 그 외에 프레임메이커와 인디자인에서도 굵직한 취약점들 패치됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)