ColdFusion 버퍼 오버플로, Acrobat 서비스 거부 취약점 등
전체 5개 제품 29개 항목 대상...Adobe 홈페이지 보안 게시판에서 내려받기 가능

[보안뉴스 김영명 기자] 한국인터넷진흥원(KISA)은 최근 Adobe 사에서 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다고 공지했다. Adobe사는 현재 ColdFusion 등 5개 제품에 대해 낮은 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트를 권고했다.


세부적인 제품별 취약점은 먼저 Adobe ColdFusion과 관련된 취약점으로 △Adobe ColdFusion에서 버퍼 오버플로로 인해 발생하는 임의 코드 실행 취약점(CVE-2022-35710) 포함 4개 △Adobe ColdFusion에서 Path Traversal로 인해 발생하는 임의 코드 실행 취약점(CVE-2022-38418) 포함 4개 △Adobe ColdFusion에서 XML 외부 엔티티 참조(XXE)의 부적절한 제한으로 인해 발생하는 임의 파일 시스템 읽기 취약점(CVE-2022-38419) 포함 2개 △Adobe ColdFusion에서 하드 코딩된 자격 증명 사용으로 인해 발생하는 권한 상승 취약점(CVE-2022-38420) △Adobe ColdFusion에서 정보 노출로 인해 발생하는 보안 기능 우회 취약점(CVE-2022-38422) △Adobe ColdFusion에서 부적절한 입력 검증으로 인해 발생하는 임의 파일 시스템 읽기 취약점(CVE-2022-42340) 등 총 6개가 있다.

Acrobat 및 Acrobat Reader와 관련된 취약점으로는 △Adobe Acrobat 및 Acrobat Reader에서 NULL 포인터 역참조로 인해 발생하는 서비스 거부 취약점(CVE-2022-35691) △Adobe Acrobat 및 Acrobat Reader에서 Use-After-Free로 인해 발생하는 메모리 누수 취약점(CVE-2022-38437) △Adobe Acrobat 및 Acrobat Reader에서 스택 버퍼 오버플로로 인해 발생하는 임의 코드 실행 취약점(CVE-2022-38450) 포함 2개 △Adobe Acrobat 및 Acrobat Reader에서 범위를 벗어난 읽기로 인해 발생하는 메모리 누수 취약점(CVE-2022-38449) 포함 2개 등 총 4개가 있다.

이밖에도 △Adobe Commerce에서 XSS로 인해 발생하는 임의 코드 실행 취약점(CVE-2022-35698) △Adobe Dimension에서 범위를 벗어난 읽기로 인해 발생하는 임의 코드 실행 취약점(CVE-2022-38440) 포함 3개 △Adobe Dimension에서 Use-After-Free로 인해 발생하는 임의 코드 실행 취약점(CVE-2022-38442) 포함 6개 등에 대해 보안 업데이트를 권고했다.

이번 보안 업데이트는 Adobe 홈페이지 보안 게시판을 방문하면 Solution 항목에서 해당되는 업데이트 파일을 내려받을 수 있다. 그밖에 자세한 사항은 한국인터넷진흥원 사이버민원센터(국번없이 118)로 문의하면 된다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>