어도비, 정기 패치일 맞아 취약점 3개 업데이트

입력 : 2019-09-11 15:21

어도비 정기 패치일...지난 달에는 119개 패치했는데 이번 달은 3개
어도비 플래시 플레이어에서 발견된 2개의 치명적인 취약점, 패치 서둘러야

[보안뉴스 문가용 기자] 어도비가 정기 패치일을 맞아 플래시 플레이어를 비롯해 다른 서비스에서 발견된 취약점 3개를 패치했다. 2개는 플래시 플레이어에서 발견된 치명적인 위험도의 취약점이고, 다른 하나는 어도비 애플리케이션 관리자(Adobe Application Manager)에서 나온 중요 취약점이다. 아직까지 실제 공격에 활용된 사례는 발견된 바 없다.


플래시 플레이어에서 발견된 취약점은 다음과 같다.
1) CVE-2019-8070 : UaF 취약점
2) CVE-2019-8069 : 동일 출처 방법 실행 취약점
둘 다 현재 사용자 컨텍스트에서 임의의 코드를 실행하게 해준다.

보안 업체 트렌드 마이크로(Trend MIcro)가 진행하는 제로데이 이니셔티브(ZDI)의 더스틴 차일즈(Dustin Childs)는 “CVE-2019-8069는 액션스크립트 프로그래밍 언어 내 navigateToURL이라는 함수에 존재하는 것이고, CVE-2019-8070은 PSDK 명칭 공간에서 발견된 것”이라고 설명한다.

이 취약점들을 익스플로잇 하려면 “사용자가 조작된 플래시 파일을, 취약한 플래시 플레이어를 가지고 열어보도록 만들어야 한다”고 한다. 거기까지 성공하면 공격자는 CVE-2019-8069를 통해 사용자의 시스템 내에서 코드를 실행할 수 있게 된다. 다른 하나인 CVE-2019-8070의 경우 샌드박스 탈출 취약점과 결합해서 사용하면 임의 코드 실행이 가능하게 된다.

이 취약점이 나타난 버전은 다음과 같다.
1) 플래시 플레이어 데스크톱 런타임 32.0.0.238 및 이전 버전(윈도우, 맥, 리눅스용)
2) 구글 크롬용 플래시 플레이어 32.0.0.238 및 이전 버전(윈도우, 맥, 리눅스, 크롬OS용)
3) MS 에지 및 인터넷 익스플로러 11용 플래시 플레이어 32.0.0.238(윈도우 8.1과 10용)
패치가 적용된 버전은 32.0.0.255다. 어도비 플래시 플레이어 다운로드 센터에서 취득이 가능하다.

트렌드 마이크로의 ZDI와 협력하고 있는 보안 전문가 에두아르도 브론 프라도(Eduardo Braun Prado)와 익명의 파트너가 이 두 가지 오류를 잡아낸 장본인으로 알려졌다.

플래시는 사이버 공격자들이 가장 선호하는 애플리케이션으로 한 동안 굳건한 자리를 차지하고 있었다. 특히 익스플로잇 키트와 제로데이 공격이 성행하던 시절에 플래시 플레이어의 인기는 하늘을 찌를 정도였다. 그렇기 때문에 어도비는 이미 2017년 7월부터 플래시 플레이어의 개발을 중단했고, 2020년부터는 아무런 업데이트 지원을 하지 않을 예정이다. 많은 주요 브라우저 제조사들도 플래시 플레이어에 대한 지원을 하나 둘 중지하고 있다.

애플리케이션 관리자에서도 취약점이 발견돼 패치했다. 애플리케이션 관리자는 어도비 제품을 설치하려고 할 때, 그 과정을 돕는 인스톨러 프로그램이다. 발견된 취약점은 CVE-2019-8076으로, 중요 위험도를 가지고 있는 것으로 분석됐다. 불안전 라이브러리 로딩 혹은 DLL 하이재킹을 유발하는 취약점이라고 한다. 역시 임의 코드 실행으로 이어질 수 있다.

어도비는 권고문을 통해 “CVE-2019-8076은 인스톨러 프로그램에서만 발견된 중요 취약점”이라고 설명하며 “10.0 버전만 문제가 있다”고 밝혔다. 다른 버전을 사용하는 경우 패치를 적용하지 않아도 된다. “그러나 10.0을 사용하고 있다면 2019 배포 버전으로 업그레이드 해야 안전합니다.” 이 취약점을 찾아낸 건 보안 전문가 함디 맘리(Hamdi Maamri)라고 한다.

어도비는 8월 정기 패치를 통해 119개의 취약점을 해결한 바 있다. 이 중 25개는 치명적인 취약점이었고 대부분 어도비 포토샵 CC에서 발견됐었다.

3줄 요약
1. 어도비, 이번 달 정기 패치 통해 취약점 3개 해결.
2. 2개는 플래시 플레이어에서 발견된 치명적 취약점, 1개는 앱 관리자에서 나온 중요 취약점.
3. 지난 달에는 119개 패치했는데, 이번 달 3개면 양호.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 파일인 줄 알았더니... ‘SVG 포맷...

• 2

  국민 2명 중 1명이 사용하는 토스, “보안...

• 3

  [단독] 부동산중개프로그램 판매 통한 ‘개인...

• 4

  AI 기술 도입으로 급성장하는 사우디 사이버...

• 5

  가장 위험한 소프트웨어 보안 문제는 무엇일까...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  국민 2명 중 1명이 사용하는 토스, “보안...

• 3

  국제적인 도박 및 복권 기업 IGT, 사이버...

• 4

  가장 위험한 소프트웨어 보안 문제는 무엇일까...

• 5

  [단독] 부동산중개프로그램 판매 통한 ‘개인...

• 1

  업무 파일인 줄 알았더니... ‘SVG 포맷...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  현대오토에버, 생성형 AI로 업무 효율성 높...

• 4

  방화벽 취약점 악용 공격 비상! 해킹포럼에 ...

• 5

  가장 위험한 소프트웨어 보안 문제는 무엇일까...