Home > 전체기사
어도비, 정기 패치 통해 26개 취약점 해결...11개는 치명적 위험
  |  입력 : 2020-08-12 16:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
어도비의 아크로뱃과 리더 제품군에서 발견된 취약점들...임의 코드 실행 가능케 해
아웃 오브 바운드 라이트, UaF, 버퍼 오류 등...보안 장치 회피하게 해주기도


[보안뉴스 문가용 기자] 어도비가 자사 솔루션인 아크로뱃(Acrobat)과 리더(Reader)에서 총 26개의 취약점을 찾아내 패치했다고 발표했다. 이 중 11개는 치명적 위험도를 가진 것으로 분석됐다. 주로 보안 장치 우회 및 임의 코드 실행을 가능케 한다고 한다.

[이미지 = utoimage]


취약점들의 영향을 받는 제품은 윈도우용 및 맥OS용 아크로뱃 DC, 아크로뱃 리더 DC, 아크로뱃 2020, 아크로뱃 리더 2020, 아크로뱃 2017, 아크로뱃 리더 2017, 아크로뱃 2015, 아크로뱃 리더 2015다. 해당 제품의 사용자들은 전부 패치를 하는 것이 권장된다.

치명적인 위험도를 가진 취약점 중 9개는, 임의 코드 실행으로 이어지는 ‘아웃 오브 바운드 라이트(out-of-bounds write)’, ‘UaF’, ‘버퍼 오류’ 유형의 취약점들로 분류된다. 나머지 두 개의 치명적 취약점의 경우, 익스플로잇 되었을 때 공격자들이 보안 장치들을 회피할 수 있게 해주는 것으로 나타났다.

나머지 다른 취약점들은 전부 ‘중요’ 등급을 받았다. 다음과 같은 공격을 가능케 한다.
1) 메모리 유출
2) 권한 상승
3) 정보 노출
4) 디도스

26개의 취약점들을 찾아낸 건 다음과 같다며 어도비는 감사의 뜻을 전하기도 했다.
1) 치후 360(Qihoo 360)
2) 오펜시브 시큐리티(Offensive Security)
3) 애리조나주립대학
4) 노스캐롤라이나주립대학
5) 렌민중화대학
6) 중국과학아카데미
7) 치안진 기술 연구 인스티튜트(QiAnXin Technology Research Institute)
8) 텐센트(Tencent)

어도비는 “현재까지 이 취약점들이 실제 공격에 활용된 사례는 아직 발견하지 못했다”고 발표했다. 그 외에도 라이트룸 클래식(Llightroom Classic)이라는 사진 편집 도구에서도 취약점이 하나 발견되어 패치됐다고 어도비는 밝혔다.

어도비는 최근 정기 패치 외에도 ‘긴급 패치’를 꽤나 자주 발표하고 있다. 지난 7월만 하더라도 19개의 보안 패치를 배포했는데, 이중 7개가 비정기 패치 형식으로 배포됐다. 보안 전문가들은 다음과 같은 요인들이 작용하기 때문에 비정기 패치가 자주 나오는 것이라고 분석한다.
1) 사용자 증가
2) 수집되는 데이터량 증가
3) 취약점 연구자 증가

비정기 패치가 자주 나온다는 건, 보안 담당자들의 취약점 관리 계획표에 변수를 창출하는 것으로 업무에 부담을 주는 게 사실이다. 그러나 최종 사용자들의 장비에서 나온 취약점들이, 위험한 채로 방치되는 기간이 줄어든다는 장점도 가지고 있다. 또한 정기 패치일에 등장하는 패치가 너무 많아 ‘정기 패치일’을 지정하는 것의 의미가 줄어들고 있다는 지적도 나오고 있는 상황이라 비정기 패치가 실질적인 취약점 관리 어려움을 야기하지 않는다는 의견도 있다.

3줄 요약
1. 패치 튜즈데이, 어도비도 26개의 취약점 패치.
2. 이 중 11개는 치명적 위험도를 가진 것으로 분석됨.
3. 어도비, 최근 비정기 패치 수 늘이고 있어 정기 패치의 중요도 떨어지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)