여러 보안 업체와 연구 기관에서 독자적으로 발견해 어도비에 보고
지난 달에는 7개에 그쳤으나 7월에는 100개 취약점 패치하기도

[보안뉴스 문가용 기자] 어도비가 미국 현지 시각으로 월요일 윈도우와 맥OS용 아크로뱃 제품 시리즈들에 대한 보안 업데이트를 배포하기 시작했다. 수십 개의 취약점이 이번 패치로 해결됐다고 한다.


이번 패치가 적용되는 제품은 원래의 영문명으로 다음과 같다 :
1) Acrobat DC 및 Acrobat Reader DC(Continuous) 2019.008.20071,
2) Acrobat 2017 및 Reader DC 2017 (Classic 2017) 2017.011.30105,
3) Acrobat DC 및 Reader DC(Classic 2015) 2015.006.30456

그리고 총 86개의 오류들이 이번 패치로 해결됐다. 이 취약점들은 다음과 같다.
1) 아웃 오브 바운드 라이트(out-of-bound write) 취약점 22개
2) 힙 오버플로우 취약점 7개
3) UaF 취약점 7개
4) 타입 컨퓨젼(type confusion) 취약점 3개
5) 더블 프리(double-free) 취약점
6) 버퍼 관련 오류 3개
7) 비신뢰 포인터 역참조(untrusted pointer dereference) 취약점 3개

위 취약점들은 익스플로잇이 될 경우 임의 코드 실행 및 권한 상승으로 이어질 수 있으며, 그 외에는 스택 오버플로우, 정수 오버플로우, 아웃 오브 바운드 리드 등의 문제가 야기된다고 한다. 임의 코드 및 권한 상승을 유발하는 취약점들은 치명적인 위험도를 가진 것으로 분석됐고, 나머지 취약점들은 ‘중요’ 등급을 받았다.

보안 업체 치후360(Qihoo 360), 시스코(Cisco), 북경항공우주비행대학, 팔로알토 네트웍스(Palo Alto Networks), 노운섹(Knownsec), 체크포인트(Check Point), 텐센트(Tencent) 등이 독자적으로 취약점들을 찾아 어도비에 보고했다고 한다. 대부분 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI)를 거쳐 어도비로 보고됐다.

가장 많은 취약점을 발견한 개인은 옴리 헤르스코비치(Omri Herscovici)라는 체크포인트 소속 취약점 연구 전문가이다. 이번에 패치된 86개 취약점들 중 35개를 찾아냈다고 한다.

지난 달 어도비는 아크로뱃 제품군들에서 7개의 취약점들만을 패치했다. 86개의 취약점을 찾아낸 것에 비하면 굉장히 적은 수다. 그렇다고 해서 이번이 대단히 예외적인 경우인 것은 아니다. 지난 7월 어도비는 정기 패치를 통해 100개가 넘는 취약점을 해결하기도 했다.

3줄 요약
1. 어도비, 아크로뱃 제품군에서 나온 86개 취약점들에 대한 패치 발표.
2. 여러 보안 업체들이 독자적으로 연구해 어도비에 보고했음.
3. 옴리 헤르스코비치라는 체크포인트 연구원은 혼자서 35개 발견함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>