ÀÌÀüºÎÅÍ ¾îµµºñ¿¡ Ãë¾àÁ¡ º¸°íÇÑ Àü¹®°¡µéÀÌ ¹ß°ß...°ú°Å ¿¬±¸ ´Ù½Ã ÁÖ¸ñ¹Þ¾Æ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾îµµºñ°¡ ±ä±Þ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù. ¾îµµºñ ¾ÆÅ©·Î¹î(Adobe Acrobat)°ú ¸®´õ(Reader)¿¡¼ ¹ß°ßµÈ µÎ °³ÀÇ Ä¡¸íÀûÀÎ Ãë¾àÁ¡À» ÇØ°áÇϱâ À§ÇÑ °ÍÀ̶ó°í ÇÑ´Ù. ÆÐÄ¡¿Í ÇÔ²² ¹ßÇ¥µÈ ±Ç°í¹®(APSB19-02)¿¡´Â ÀÌ Ãë¾àÁ¡µé¿¡ ´ëÇÑ ´ë·«ÀûÀÎ ³»¿ëµéÀÌ ¼ö·ÏµÇ¾î ÀÖÁö¸¸ ¼¼ºÎ ³»¿ëÀº »ý·«µÈ »óÅ´Ù.
[À̹ÌÁö = iclickart]
´ë½Å ¸Åü¿ë ±Ç°í¹®¿¡´Â ¾à°£ÀÇ ³»¿ëÀÌ ´õ Ãß°¡µÇ¾î Àִµ¥, ÀÌ Ãë¾àÁ¡µéÀ» ¹ß°ßÇÑ »ç¶÷ÀÌ ¾ÐµÑ ¾ÆÁöÁî Çϸ®¸®(Abdul-Aziz Hariri)¿Í ¼¼¹Ù½ºÂù ¾ÆÆçÆ®(Sebastian Apelt)¶ó´Â °ÍÀÌ´Ù. ÀÌ µÑÀº Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro)ÀÇ Á¦·Îµ¥ÀÌ À̴ϼÅƼºê(Zero Day Initiative, ZDI)¸¦ ÅëÇØ ÀÚÁÖ ¾îµµºñ Ãë¾àÁ¡À» Á¦ÃâÇÏ´Â »ç¶÷µé·Î, À̹ø ±Ç°í¹®À» ÅëÇØ ¾îµµºñ´Â ¡°ÀÚ¹Ù½ºÅ©¸³Æ® API¸¦ źźÈ÷ ÇÏ´Â µ¥ À̹ÙÁöÇØÁÖ¾î °¨»çÇÏ´Ù¡±°í Àû¾ú´Ù.
¾îµµºñ´Â MS¿Í °°Àº ÁÖ±â·Î ¸Å´Þ ù ¹ø° È¿äÀÏ Á¤±â ÆÐÄ¡¸¦ ¹ßÇ¥Çϴ ȸ»ç´Ù. ÇÏÁö¸¸ ÃÖ±Ù¿¡´Â Á¤±â ÆÐÄ¡·Î ´Ù ´Ù·çÁö ¸øÇÑ Ãë¾àÁ¡À» °íÄ¡±â À§ÇØ ºñÁ¤±â ¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥Çϱ⵵ Çß¾ú´Ù. ¿À´Ã ¹ßÇ¥µÈ °Íµµ ±×·¯ÇÑ ºñÁ¤±â ÇȽº·Î, ½ÇÁ¦ °ø°Ý¿¡ ÀÌ Ãë¾àÁ¡µéÀÌ È°¿ëµÈ »ç·Ê´Â ¾ÆÁ÷±îÁö ¹ß°ßÇÒ ¼ö ¾ø¾ú´Ù°í ÇÑ´Ù.
±Ç°í¹®À» ÅëÇØ ¾îµµºñ ¡°µÎ °³ÀÇ Ä¡¸íÀûÀÎ Ãë¾àÁ¡À» ÇØ°áÇß´Ù¡±¸ç ¡°°ø°ÝÀÚµéÀÌ ¼º°øÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì, ÇöÀç »ç¿ëÀÚ ¸Æ¶ô¿¡¼ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù¡±°í °æ°íÇß´Ù.
ù ¹ø° Ãë¾àÁ¡Àº CVE-2018-19725·Î, Çϸ®¸®°¡ ¹ß°ßÇÏ°í ZDI¸¦ ÅëÇØ ¾îµµºñ¿¡ ¾Ë¸° °ÍÀÌ´Ù. ÀÌÀü¿¡ ¾îµµºñ°¡ ¹ßÇ¥ÇÑ º¸¾È ÆÐÄ¡°¡ ºÒ¿ÏÀüÇؼ »ý±ä ¹®Á¦¶ó°í, ZDIÀÇ Ã¥ÀÓÀÚÀÎ ºê¶óÀ̾ð °í·»Å©(Brian Gorenc)´Â ¼³¸íÇÑ´Ù. ¡°°ø°ÝÀÚ°¡ ÀÚ¹Ù½ºÅ©¸³Æ®ÀÇ Àбâ Àü¿ë º¯¼ö¸¦ ¿À¹ö¶óÀÌÆ® ÇÒ ¼ö ÀÖµµ·Ï ÇØÁÖ´Â Ãë¾àÁ¡ÀÔ´Ï´Ù. Àбâ Àü¿ë º¯¼ö¶ó´Â °Ô ±×¸® ÈçÇÑ °Ç ¾Æ´Õ´Ï´Ù¸¸.¡±
µÎ ¹ø° Ãë¾àÁ¡Àº CVE-2018-16011·Î, °ø°³ ¸¶°¨ ±âÇÑÀÎ 120ÀÏ¿¡ ÃÖ±Ù ´Ù´Ù¸¥ °ÍÀ¸·Î º¸ÀδÙ. 120ÀÏÀÌ Áö³ª¸é ZDI°¡ ÆÐÄ¡ ¹ßÇ¥ ¿©ºÎ¿Í »ó°ü¾øÀÌ Ãë¾àÁ¡ÀÇ ¼¼ºÎ ³»¿ëÀ» °ø°³ÇÑ´Ù. ÇÏÁö¸¸ °í·»Å©´Â ¡°¾îµµºñ°¡ ¿À´Ã ÀÌ¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ¹ßÇ¥Ç߱⠶§¹®¿¡ ZDI´Â ¹ßÇ¥ÇÏÁö ¾Ê±â·Î Çß´Ù¡±°í ¼³¸íÇÑ´Ù.
¾îµµºñ´Â À̹ø ¾÷µ¥ÀÌÆ®¸¦ ÅëÇØ ¼ÒÇÁÆ®¿þ¾îÀÇ ¾î¶² ¿ä¼ÒµéÀÌ ¿µÇâÀ» ¹Þ¾Ò´ÂÁö ¼¼ºÎÀûÀ¸·Î °ø°³ÇÏÁö ¾Ê¾Ò´Ù. ÇÏÁö¸¸ ´ë·«ÀûÀÎ Ãë¾àÁ¡ ¼³¸íÀÌ °ú°Å Çϸ®¸®¿Í ¾ÆÆçÆ®°¡ ¹ß°ßÇÑ DLL °ü·Ã Ãë¾àÁ¡µé°ú Å©°Ô ´Ù¸£Áö ¾Ê´Ù. PDF ¹®°Ç ¼Ó ÄÜÅÙÃ÷¿¡ ´ëÇÑ »öÀÎ ÀÛ¾÷À» Çã¿ëÇÏ°Ô ÇØÁÖ´Â Ãë¾àÁ¡À̾ú´Ù. Çϸ®¸®´Â 2018³â ºí·Î±× °Ô½Ã±ÛÀ» ÅëÇØ 2014³â¿¡ ¸¸µé¾îÁø ¶óÀ̺귯¸®ÀÎ Onix.dllÀÌ °Ë»öÀ» ¿ëÀÌÇÏ°Ô ÇØÁÖ´Â »öÀÎÀ» »ý¼ºÇÏ°Ô ÇØÁØ´Ù°í ¼³¸íÇÑ ¹Ù ÀÖ´Ù.
ÇÏÁö¸¸ ZDI ÃøÀº ÀÌ·¯ÇÑ °ú°Å ¿¬±¸¿Í À̹ø¿¡ ÆÐÄ¡µÈ Ãë¾àÁ¡µé »çÀÌ¿¡ ¿¬°á °í¸®°¡ ÀÖ´Ù´Â °É ºÎÁ¤ÇÏ°í ÀÖ´Ù. ¡°¿¬±¸ÀÚµéÀÇ ºí·Î±×¸¦ ÅëÇØ °ø°³µÈ ³»¿ë°ú À̹ø¿¡ ´Ù·ïÁø Ãë¾àÁ¡µéÀº ¼·Î »ó°üÀÌ ¾ø½À´Ï´Ù.¡±
ÇÑÆí ´ëÁߵ鿡°Ô °ø°³µÈ Ãë¾àÁ¡µéÀÇ ¼ö´Â Àü³âµµ¿¡ ºñÇØ 13% Áõ°¡Çß´Ù. Ãë¾àÁ¡À» CVE ¹øÈ£·Î ºÐ·ù, ±â·ÏÇÏ°í °ü¸®ÇÏ´Â NVD ÃøÀº ¡°2019³â¿¡µµ Ãë¾àÁ¡ ¼ö´Â °è¼ÓÇؼ Áõ°¡ÇÒ °Í¡±À̶ó°í ¿¹»óÇÏ°í ÀÖ´Ù. ¶ÇÇÑ Ãë¾àÁ¡ ÇȽº¸¶Àú ¹«·ÂȽÃÅ°´Â ±â¼úµéµµ ´Ã¾î³ª°í ÀÖ´Ù. Çϸ®¸®´Â 12¿ù ºí·Î±× Æ÷½ºÆ®¸¦ ÅëÇØ ¡°°¡²ûÀº ±â´É ÀÚü¸¦ ¿ÏÀüÈ÷ »èÁ¦Çؾ߸¸ ¹®Á¦°¡ ÇØ°áµÇ´Â °æ¿ìµµ ÀÖ´Ù¡±°í ¾´ ¹Ù ÀÖ´Ù.
3ÁÙ ¿ä¾à
1. ¾îµµºñ ¾ÆÅ©·Î¹î°ú ¸®´õ¿¡¼ÀÇ Ä¡¸íÀûÀÎ Ãë¾àÁ¡ µÎ °³ ÆÐÄ¡µÊ.
2. ¾îµµºñ´Â ±â¼úÀûÀÎ ¼¼ºÎ ³»¿ëÀ» °ø°³ÇÏÁö ¾Ê°í ´ë·«ÀûÀÎ ³»¿ë¸¸ ¾Ë¸².
3. Ãë¾àÁ¡À» º¸°íÇÑ Àü¹®°¡µéÀº ¿¹ÀüºÎÅÍ DLL ¿¬±¸ÇÏ´ø »ç¶÷µé.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>