HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

어도비도 패치 튜즈데이! 총 10가지 취약점 해결
등록일 :
2018.09.12
9월 업데이트...플래시에서 하나, 콜드퓨젼에서 9개 발견돼

[보안뉴스 문가용 기자] 어도비(Adobe)가 패치 튜즈데이를 통해 9월분 업데이트를 발표했다. 플래시 플레이어(Flash Player)와 콜드퓨젼(ColdFusion)에서 발견된 10가지 취약점이 다뤄졌다. 하지만 이 중 대단히 심각해 보이는 건 없었다고 한다.

[이미지 = iclickart]


플래시 플레이어에서 발견된 보안 구멍은 하나로, CVE-2018-15967이다. 권한 상승을 통한 정보 공개 취약점으로, 어도비는 이번에 발표된 플래시 플레이어 31.0.0.108 버전을 통해 해결했다.

이 취약점은 마이크로소프트의 침해 대응 센터가 발견해 어도비에 알린 것으로, ‘중요 등급’의 위험도를 가진 것으로 밝혀졌다. 어도비가 선정한 우선순위 점수는 2로, 공격자들이 실제 활용할 가능성은 거의 없다.

나머지 9개 취약점들은 전부 콜드퓨젼에서 발견된 것이었다. 일부는 임의 코드 실행을 야기하는 비직렬화 관련 문제였다. 또한 아무 코드 실행을 가능케 하는 무한 파일 업로드 버그도 해결됐다. 이 마지막 버그의 경우, 치명적인 위험도를 가진 것으로 나타났다.

그 외에도 치명적인 위험도를 가진 것으로 분석된 문제가 있었다. 공격자들이 임의의 파일을 덮어쓰기 할 수 있게 해주는 것으로, 어떤 요소에서 발견된 것인지 어도비가 정확하게 밝히지 않고 있다.

그 외 두 가지 취약점은 ‘중요 등급’을 받았다. 공격자가 익스플로잇 할 경우 임의의 폴더를 생성해 디렉토리 목록을 얻어낼 수 있게 해주는 취약점들이라고 한다.

콜드퓨젼에는 정보를 노출시키는 중간 등급 위험도의 취약점도 있었다. 이 취약점은 이미 알려진 오류를 통해 발동될 수 있는 것이라고 한다.

이러한 오류들을 어도비에 알린 건 MS외에도 코드 화이트(Code White), 비너스테크애드랩(Venustech-Adlab), 파운디오(Foundeo), 코그니투스(Cognitous)라고 어도비는 공개하며 감사의 뜻을 전하기도 했다.

위 보안 취약점들은 콜드퓨젼 11 2016과 2018 버전 모두에서 발견되며, 어도비는 각 버전의 업데이트 방법을 상세하게 설명했다.

2줄 요약
1. 어도비 9월 패치 발표. 플래시 플레이어에서 1개, 콜드퓨젼에서 9개 해결.
2. 대단히 위험한 취약점은 두 개 정도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top