Home > 전체기사
어도비, 18개의 취약점에 대한 긴급 패치 발표
  |  입력 : 2020-10-21 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
18개 중 16개가 치명적 위험도를 가지고 있어...일러스트레이터에서만 7개
제어되지 않는 검색 경로와 관련된 취약점 많아...플래시 플레이어도 패치


[보안뉴스 문가용 기자] 어도비가 18개의 긴급 보안 패치를 발표했다. 10가지 소프트웨어 패키지들에 적용되는 패치들이다. 그 중에서 일러스트레이터(Illustrator)가 가장 많은 영향을 받은 것으로 알려졌다.

[이미지 = utoimage]


발표된 취약점들 중 16개는 치명적인 위험도를 가진 것으로 나타났다. 전부 현재 사용자 컨텍스트에서 임의 코드를 실행할 수 있게 해준다. 패치가 적용되는 소프트웨어는 다음과 같다.
1) 어도비 일러스트레이터
2) 어도비 애니메이트(Adobe Animate)
3) 어도비 애프터이펙트(Adobe After Effects)
4) 어도비 포토샵(Adobe Photoshop),
5) 어도비 프리미어 프로(Adobe Premiere Pro)
6) 어도비 미디어 엔코더(Adobe Media Encoder)
7) 어도비 인디자인(Adobe InDesign)
8) 어도비 크리에이티브 클라우드 데스크톱 애플리케이션(Adobe Creative Cloud Desktop Application)

나머지 두 개의 취약점은 ‘중요’ 등급을 받았고 드림위버(Dreamweaver)와 마케토 세일즈 인사이트 세일즈포스(Marketo Sales Insight Salesforce) 패키지에서 발견됐다.

이번에 발견된 취약점들 대부분 제어가 되지 않은 검색 경로 요소들과 관련된 것이었다. 여기에 ‘아웃 오브 바운드’ 문제, 메모리 변형 문제, 교차 사이트 스크립트 문제들이 섞여 있다. 어도비의 제품들과 서비스가 대단히 광범위한 범위로 활용되고 있다는 것을 생각할 때 이번에 발견된 문제들의 파급력이 결코 낮지 않음을 알 수 있다.

위 18개 취약점 중 7개가 윈도용 일러스트레이터 2020 24.2 및 이전 버전에서 발견됐다. 이번 긴급 패치가 적용될 소프트웨어 중 가장 많은 수다. 오류들은 다음과 같다.
1) CVE-2020-24409 : 아웃 오브 바운즈 리드 오류
2) CVE-2020-24410 : 아웃 오브 바운즈 리드 오류
3) CVE-2020-24411 : 아웃 오브 바운즈 라이트 오류
이 세 가지 오류들은 일러스트레이터를 통해 PDF 파일들을 처리할 때 발동된다.

나머지 네 가지는 다음과 같다.
1) CVE-2020-24412 : 메모리 변형 취약점
2) CVE-2020-24413 : 메모리 변형 취약점
3) CVE-2020-24414 : 메모리 변형 취약점
4) CVE-2020-24415 : 메모리 변형 취약점

애프터이펙트의 경우 윈도용 17.1.1 및 이전 버전에서 아웃 오브 바운드 리드 취약점이 발견됐고 취약점 번호는 CVE-2020-24418이다. 윈도용 애니메이트 20.5 및 이전 버전에서는 더블 프리(double-free) 버그가 발견됐고, 이 취약점에는 CVE-2020-9747이라는 번호가 붙었다. 그 외에도 스택 버퍼 오버플로우 취약점인 CVE-2020-9748과 아웃 오브 바운드 리드 취약점인 CVE-2020-9749와 CVE-2020-9750이 발견됐었다.

위에서 언급한 ‘제어가 되지 않은 검색 경로’ 취약점들은 다음과 같은 소프트웨어에서 발견됐다.
1) 애프터 이펙트(CVE-2020-24419)
2) 포토샵 CC 2019, 20.0.10 및 이전 버전 : CVE-2020-24420
3) 포토샵 2020, 21.2.2 및 이전 버전 : CVE-2020-24420
4) 프리미어 프로 14.4 및 이전 버전 : CVE-2020-24424
5) 미디어 인코더 14.4 및 이전 버전 : CVE-2020-24423

그 외체도 드림위버 20.2 및 이전 버전(윈도와 맥OS 모두)에서도 제어가 되지 않는 검색 경로 취약점이 발견됐다. 이는 권한 상승 공격으로 이어지며, CVE-2020-24425라는 번호를 부여 받았다. 드림위버 20.1 및 이전 버전의 libCURL 디펜던시에도 영향을 주는 것으로 나타났다.

플래시 플레이어에서도 치명적인 취약점이 나왔다. 윈도, 맥OS, 리눅스, 크롬OS 모두에 영향을 주며, 취약점 번호는 CVE-2020-9746이다. 익스플로잇에 성공할 경우 시스템 마비 및 임의 코드 실행으로 이어질 수 있다고 한다.

3줄 요약
1. 어도비, 긴급 패치 18개 발표.
2. 이 중 16개가 치명적인 위험도를 가지고 있음.
3. 일러스트레이터가 가장 많은 패치를 받았음. 사용자들은 확인 필수.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상