디지털 에디션, 익스피리언스 매니저 등 네 가지 제품 패치돼
치명적인 취약점과 중요 취약점 등 포함돼 빠르게 적용돼야

[보안뉴스 문가용 기자] 어도비가 패치 튜즈데이(Patch Tuesday)를 기존과 같이 진행했다. 어도비 디지털 에디션(Adobe Digital Editions) 등을 포함해 총 네 가지 제품에서 발견된 취약점들이 패치되었다. 네 개의 치명적인 취약점들도 이번에 패치됐는데, 놀랍게도 플래시 플레이어에 대한 취약점은 하나도 없었다.


지난 달 어도비는 예고에 없던 비정기 패치를 몇 개 진행했다. 가장 최근에 발표된 건 10월 1일에 긴급히 배포된 패치로 어도비의 아크로뱃(Acrobat)과 리더(Reader) 제품에 있었던 취약점들을 해결한 것이었다.

어도비 디지털 에디션 4.5.9 버전에서는 여러 개의 치명적인 취약점들이 발견됐다.
1) CVE-2018-12813 : 힙 오버플로우 취약점
2) CVE-2018-12814 : 힙 오버플로우 취약점
3) CVE-2018-12815 : 힙 오버플로우 취약점
4) CVE-2018-12822 : UaF 취약점
이 취약점들 전부 익스플로잇 될 경우 임의 코드 실행이 발생할 수 있다.

또한 그 다음으로 위험한 ‘중요’ 취약점들도 몇 가지 있었다.
1) CVE-2018-12816 : 아웃 오브 바운드 리드(out-of-bounds read) 취약점
2) CVE-2018-12818 : 아웃 오브 바운드 리드 취약점
3) CVE-2018-12819 : 아웃 오브 바운드 리드 취약점
4) CVE-2018-12820 : 아웃 오브 바운드 리드 취약점
5) CVE-2018-12821 : 아웃 오브 바운드 리드 취약점
이 취약점들을 익스플로잇 할 경우 정보 유출로 이어질 수 있다.

또한 어도비의 익스피리언스 매니저(Adobe Experience Manager) 6.0~6.4까지 버전에서도 중요 취약점이 세 개 발견됐다. 전부 XSS 취약점으로, CVE-2018-15969, CVE-2018-15972, CVE-2018-15973으로 분류됐다. 그 다음은 보통 등급을 받은 XSS 취약점 두 개로, CVE-2018-15970과 CVE-2018-15971이다. 이 다섯 개의 취약점 모두 민감한 정보 노출로 이어진다. 이 취약점들도 전부 패치됐다.

그 외 업데이트가 적용된 제품은 어도비 프레임메이커(Adobe Framemaker)도 있었다. 보통 등급을 받은 CVE-2018-15974 취약점으로, DLL 하이재킹 공격을 가능하게 하는 것이었다.

또 다른 제품은 어도비 테크니컬 커뮤니케이션즈 스위트(Adobe Technical Communications Suite)로, 역시나 DLL 하이재킹을 유발하는 취약점인 CVE-2018-15976을 가지고 있었다.

2줄 요약
1. 어도비의 패치 튜즈데이, 어쩐지 플래시 플레이어에 관한 내용은 없음.
2. 네 개 제품에 대한 취약점들 패치 됨 : Digital Editions, Experience Manager, Framemaker, Technical Communications Suite.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>