어도비, 정기 패치일 통해 총 18개의 취약점 패치해

18개 취약점 중 12개가 치명적인 위험도를 가져...시급한 패치 필요
엑스페리언스 매니저, 프레임메이커, 인디자인이 이번 달의 주의 요망 소프트웨어

[보안뉴스 문가용 기자] 어도비가 9월 정기 패치일을 맞아 총 18개의 취약점들을 공개 및 해결했다. 치명적인 위험도를 가진 취약점들이 상당수라고 한다. 엑스페리언스 매니저(Experience Manager)라는 콘텐츠 관리 솔루션에서 나온 치명적 취약점은 무려 5개로, 성공적으로 익스플로잇 했을 때 공격자는 피해자의 브라우저에서 자바스크립트를 실행할 수 있게 된다.

[이미지 = utoimage]

엑스페리언스 매니저 외에 어도비 프레임메이커(Adobe Framemaker)와 인디자인(InDesign)에서도 여러 가지 취약점들이 나왔다. 이 세 가지 애플리케이션들은 광범위하게 사용되다 보니 이 18개의 취약점을 익스플로잇하는 데 성공할 경우 공격자는 기밀 유출, 횡적 움직임, 정보 가로채기 등을 손쉽게 할 수 있게 된다고 오토목스(Automox)의 리차드 멜릭(Richard Melick)은 설명한다.

엑스페리언스 매니저에서 발견된 치명적 취약점은 다음과 같다.
1) CVE-2020-9732 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
2) CVE-2020-9742 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
3) CVE-2020-9741 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
4) CVE-2020-9740 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐
5) CVE-2020-9734 : XSS 취약점으로, 임의 자바스크립트 실행으로 이어짐

그 외 엑스페리언스 매니저에서는 총 6개의 중요급 취약점이 발견됐었다.
1) CVE-2020-9733 : 민감 정보 노출
2) CVE-2020-9735 : XSS 오류
3) CVE-2020-9736 : XSS 오류
4) CVE-2020-9737 : XSS 오류
5) CVE-2020-9738 : XSS 오류
6) CVE-2020-9743 : HTML 주입 취약점

어도비 프레임메이커에서는 2개의 치명적 취약점이 발견됐다.
1) CVE-2020-9726 : 아웃 오브 바운즈 리드(out-of-bounds read), 임의 코드 실행으로 이어질 수 있다.
2) CVE-2020-9725 : FM 파일의 확인 및 점검 오류, 임의 코드 실행으로 이어질 수 있다.

인디자인에서는 다섯 개의 치명적인 취약점들이 발견됐다.
1) CVE-2020-9727 : 현재 사용자 컨텍스트에서 임의 코드 실행
2) CVE-2020-9728 : 현재 사용자 컨텍스트에서 임의 코드 실행
3) CVE-2020-9729 : 현재 사용자 컨텍스트에서 임의 코드 실행
4) CVE-2020-9730 : 현재 사용자 컨텍스트에서 임의 코드 실행
5) CVE-2020-9731 : 현재 사용자 컨텍스트에서 임의 코드 실행

어도비는 “아직까지 취약점들에 대한 실제 익스플로잇을 발견하지 못했다”고 발표했다.

3줄 요약
1. 어도비의 정기 패치일, 이번 달은 총 18개의 취약점이 패치됨.
2. 어도비 엑스페리언스 매니저에서 가장 많은 치명적 취약점 나옴.
3. 그 외에 프레임메이커와 인디자인에서도 굵직한 취약점들 패치됨.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)