어도비가 플래시 플레이어(Flash Player)와 프레임메이커(Framemaker)에서

발견된 치명적인 취약점 네 개에 대한 패치를 발표했다.

이 취약점들을 성공적으로 익스플로잇 할 경우 임의 코드 실행이 가능하다고 한다.

먼저 프레임메이커에서는 세 가지 치명적 위험도의 취약점들이 발견됐다.
1) CVE-2020-9634 : 아웃 오브 바운드 라이트(out-of-bounds write)
2) CVE-2020-9635 : 아웃 오브 바운드 라이트(out-of-bounds write)
3) CVE-2020-9636 : 메모리 변형

보안 업체 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(Zero Day Initiative, ZDI)를 담당하고 있는

더스틴 차일즈(Dustin Childs)는 CVE-2020-9634에 대해 “GIF 파일들을 검사하는 과정 중에 발동된다”고 설명하며

“할당된 객체 외부에서 쓰기를 할 수 있게 해준다”고 설명했다.

CVE-2020-9635도 이와 비슷한데, GIF가 아니라 PDF 문서일 때 문제가 된다고 한다.

CVE-2020-9636은 익스플로잇 되었을 때 여러 가지 악성 행위를 가능하게 하는데,

프로그램이 긴급히 종료되게 하거나 임의 코드 실행으로도 이어질 수 있다.

이 세 가지 취약점이 발견된 건 윈도우용 프레임메이커 2019.0.5 및 하위 버전들이다.

2019.0.6이 최신 버전이다.

플래시 플레이어에서 발견된 치명적 취약점은 CVE-2020-9633이다.

윈도우용, 맥OS용, 리눅스용 어도비 플래시 플레이어 데스크톱 런타임(Adobe Flash Player Desktop Runtime)과,

구글 크롬용, 마이크로소프트 에지용, 인터넷 익스플로러 11용 어도비 플래시 플레이어(윈도우, 맥OS, 리눅스, 크롬OS)에서 발견됐다.

32.0.0.330 및 하위 버전이 취약하며, 32.0.0.387 버전으로의 업데이트가 요구된다.

이 취약점의 경우 익스플로잇 할 경우 현재 사용자의 컨텍스트 내에서 임의 코드 실행 공격을 할 수 있게 된다고

어도비는 보안 권고문을 통해 밝혔다.

플래시는 사이버 공격자들이 크게 선호하는 소프트웨어 중 하나다.

익스플로잇 키트가 성행하던 시절 플래시 플레이어의 선호도는 한동안 1위를 기록했었다.

그래서 어도비는 2017년 7월, 2020년 말부터는 플래시를 더 이상 개발하지 않고 출시하지도 않겠다고 발표했다.

그 외에도 엑스페리언스 매니저(Experience Manager)에서 6개의 중요 등급 취약점들이 이번 패치를 통해 해결됐다.

6.5 및 하위 버전들 전부가 취약하다고 한다.

1) CVE-2020-9643 : 서버 측 요청 조작 취약점
2) CVE-2020-9645 : 서버 측 요청 조작 취약점
3) CVE-2020-9647 : XSS 취약점
4) CVE-2020-9648 : XSS 취약점
5) CVE-2020-9651 : XSS 취약점
6) CVE-2020-9644 : XSS 취약점

어도비는 6월에 해결된 취약점들 중 실제 공격에 활용된 사례는 아직까지 없다고 발표했다.

지난 달 어도비는 정기 패치를 통해 16개의 치명적인 취약점을 해결했을 뿐만 아니라 긴급 패치도 발표했었다.

긴급 패치는 어도비 캐릭터 애니메이터(Adobe Character Animator)에서 발견된 취약점을 해결하기 위한 것이었다.

<저작권자: 보안뉴스(www.boannews.com) >