Home > 전체기사
어도비, 자사 제품과 서비스에서 나온 치명적 취약점 다수 패치
  |  입력 : 2020-03-19 14:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아크로뱃, 리더, 포토샵, 콜드퓨전, 브리지 등 각종 제품과 서비스에서 발견돼
치명적 취약점이 다수...권한 상승, 임의 코드 실행 등으로 이어질 수 있어


[보안뉴스 문가용 기자] 어도비(Adobe)가 자사 제뉴인 인테그리티 서비스(Genuine Integrity Service), 아크로뱃(Acrobat), 리더(Reader), 포토샵(Photoshop), 엑스페리언스 매니저(Experience Manager), 콜드퓨전(ColdFusion), 브리지(Bridge)에서 발견된 각종 취약점들에 대한 패치를 발표했다.

[이미지 = iclickart]


먼저 어도비 제뉴인 인테그리티 서비스(윈도우용)에서 발견된 취약점은 CVE-2020-3766이며 ‘중요’ 등급을 받았다. 익스플로잇 될 경우 공격자의 권한을 상승시키는 게 가능하다. 6.6 버전을 통해 패치됐다.

아크로뱃과 리더(윈도우용과 맥OS용)에서는 총 13개의 오류가 발견됐다. 이 중 무려 9개가 치명적 위험도를 가지고 있다. 익스플로잇 될 경우 임의 코드 실행이 가능하게 된다고 한다. 나머지 4개는 ‘중요’ 등급을 받았으며, 정보 노출 및 권한 상승을 유발한다.

이 9개 취약점은 다음과 같이 정리된다.
1) CVE-2020-3795 : 아웃 오브 바운드 라이트
2) CVE-2020-3799 : 스택 버퍼 오버플로우
3) CVE-2020-3792 : UaF
4) CVE-2020-3793 : UaF
5) CVE-2020-3801 : UaF
6) CVE-2020-3802 : UaF
7) CVE-2020-3805 : UaF
8) CVE-2020-3807 : 버퍼 오버플로우
9) CVE-2020-3797 : 메모리 변형

아크로뱃 DC와 아크로뱃 리더 DC는 2020.006.20042 버전을 통해, 아크로뱃 2017과 아크로뱃 리더 2017은 2017.011.30166 버전을 통해, 아크로뱃 2015와 아크로뱃 리더 2015는 2015.006.30518 버전을 통해 위 위 취약점들이 전부 해결됐다.

윈도우와 맥OS용 포토샵에서는 총 22개의 취약점들이 해결됐다. 이 중 16개가 치명적인 위험도를 가지고 있는 것으로 나타났다. 익스플로잇 될 경우 임의 코드 실행 현상이 나타날 수 있다. 6개는 중요 등급을 받았으며, 익스플로잇 될 경우 정보를 노출시킨다고 한다.

치명적인 취약점들은 다음과 같이 분류된다.
1) 힙 변형 : 1개
2) 메모리 변형 : 7개
3) 아웃 오브 바운드 : 2개
4) 버퍼 오류 : 6개
포토샵 CC 2019 20.0.9 버전과 포토샵 2020 21.1.1 버전을 통해 취약점들이 전부 해결됐다.

어도비 엑스페리언스 매니저에서는 한 개의 서버 사이드 요청 조작(SSRF) 취약점이 발견됐고, 서비스 팩 6.5.4.0, 6.4.8.0, 누적 픽스 팩(Cumulative Fix Pack) 6.3.3.8 버전을 통해 해결됐다.

콜드퓨전에서는 두 개의 치명적인 취약점이 발견됐다.
1) CVE-2020-3761 : 임의 파일 읽기
2) CVE-2020-9552 : 힙 버퍼 오버플로우
콜드퓨전 2016 업데이트 14와 콜드퓨전 2018 업데이트 8을 통해 해결된 상태다.

어도비 브리지 10.0.3(윈도우용과 맥OS용)에서는 2개의 치명적인 취약점이 발견됐다. CVE-2020-9551(아웃 오브 바운드 라이트)과 CVE-2020-9552(힙 버퍼 오버플로우)로, 성공적으로 익스플로잇 될 경우 임의 코드 실행으로 이어진다.

3줄 요약
1. 어도비 제품 다수에서 치명적 취약점 나옴.
2. 다행히 모두 해결됐지만(패치가 됐지만), 사용자가 적용해야 완성됨.
3. 아크로뱃, 리더, 포토샵 등 인기 제품도 다수 해당됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)