대부분 아크로뱃 제품군에 집중되어 있어...치명적 오류도 다수
이번 취약점들 중 실제 활용된 사례는 아직 나타나지 않아

[보안뉴스 문가용 기자] 어도비가 12월 정기 패치를 오늘 발표했다. 이번 달에는 총 87개의 취약점들이 고쳐졌고, 대부분 아크로뱃(Acrobat) 제품에 집중되어 있었다.


취약점들이 주로 발견된 것은 윈도우용과 맥OS용 아크로뱃 및 아크로뱃 리더 DC(Acrobat Reader DC) 제품군들로 2015년 컨티뉴어스 및 클래식 제품과 2017 제품들이라고 한다.

87개 취약점들 중 치명적인 위험도를 가진 것들도 다수 존재하는 것으로 나타났다. 대부분 임의 코드 실행, 버퍼 관련 오류, 비신뢰 포인터 역참조(untrusted pointer dereference), 유즈 애프터 프리(user-after-free), 힙 오버플로우를 유발하는 취약점들이었다. 그 외에 보안 장치들을 우회해 권한을 상승시켜주는 치명적인 오류들도 있었다.

‘중요’한 위험도를 가진 취약점들도 수십 개 되었는데, 아웃오브바운드 리드(out-of-bounds read), 정수 오버플로우, 보안 우회 및 정보 노출 등을 유발시키는 취약점인 것으로 분류됐다.

어도비는 이번에 패치된 87개 취약점들은 다음과 같은 조직 및 개인들이 발견해 알린 것이라고 치하했다.
1) 텐센트(Tencent)
2) 소스 인사이트(Source Incite)
3) NS포커스(NSFocus)
4) 베이항대학
5) 트렌드 마이크로(Trend Micro)
6) 중국과학아카데미
7) 바이두(Baidu)
8) 치후 360(Qihoo 360)
9) 보훔루르대학교
10) 시스코 탈로스 팀
11) 제로데이이니셔티브(Zero Day Initiative, ZDI)
12) 팔로알토 네트웍스(Palo Alto Networks)
13) 노운섹 404(Knownsec 404)
14) 그 외 독립적인 활동을 하는 보안 전문가들

어도비는 이번에 발견된 취약점들이 실제로 공격된 사례를 발견하지 못했다고 발표했다. 어도비는 그런 사례가 있을 때 긴급 패치 혹은 비정기 패치를 배포해 문제를 해결하려고 하는 편이다. 최근에도 플래시 플레이어에서 발견된 제로데이 취약점을 해결하기 위해 비정기 패치를 배포한 바 있다. 당시 이 취약점은 러시아의 한 병원을 겨냥한 해킹 공격에 활용되기도 했었다.

3줄 요약
1. 어도비, 87개 취약점 해결하는 정기 패치 발표.
2. 대부분 아크로뱃 및 아크로뱃 리더 제품과 관련이 있는 것이니 사용자들은 패치 요망.
3. 여러 기업과 조직, 개인들이 취약점 발견에 참여.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>