| 어도비, 긴급 패치 발표해 치명적인 취약점 두 개 해결 | 2019.01.04 |
아크로뱃과 리더에서 발견된 치명적 취약점...하지만 세부 내용은 비공개
이전부터 어도비에 취약점 보고한 전문가들이 발견...과거 연구 다시 주목받아 [보안뉴스 문가용 기자] 어도비가 긴급 패치를 발표했다. 어도비 아크로뱃(Adobe Acrobat)과 리더(Reader)에서 발견된 두 개의 치명적인 취약점을 해결하기 위한 것이라고 한다. 패치와 함께 발표된 권고문(APSB19-02)에는 이 취약점들에 대한 대략적인 내용들이 수록되어 있지만 세부 내용은 생략된 상태다.  [이미지 = iclickart] 대신 매체용 권고문에는 약간의 내용이 더 추가되어 있는데, 이 취약점들을 발견한 사람이 압둘 아지즈 하리리(Abdul-Aziz Hariri)와 세바스찬 아펠트(Sebastian Apelt)라는 것이다. 이 둘은 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(Zero Day Initiative, ZDI)를 통해 자주 어도비 취약점을 제출하는 사람들로, 이번 권고문을 통해 어도비는 “자바스크립트 API를 탄탄히 하는 데 이바지해주어 감사하다”고 적었다. 어도비는 MS와 같은 주기로 매달 첫 번째 화요일 정기 패치를 발표하는 회사다. 하지만 최근에는 정기 패치로 다 다루지 못한 취약점을 고치기 위해 비정기 업데이트를 발표하기도 했었다. 오늘 발표된 것도 그러한 비정기 픽스로, 실제 공격에 이 취약점들이 활용된 사례는 아직까지 발견할 수 없었다고 한다. 권고문을 통해 어도비 “두 개의 치명적인 취약점을 해결했다”며 “공격자들이 성공적으로 익스플로잇 할 경우, 현재 사용자 맥락에서 임의의 코드를 실행할 수 있다”고 경고했다. 첫 번째 취약점은 CVE-2018-19725로, 하리리가 발견하고 ZDI를 통해 어도비에 알린 것이다. 이전에 어도비가 발표한 보안 패치가 불완전해서 생긴 문제라고, ZDI의 책임자인 브라이언 고렌크(Brian Gorenc)는 설명한다. “공격자가 자바스크립트의 읽기 전용 변수를 오버라이트 할 수 있도록 해주는 취약점입니다. 읽기 전용 변수라는 게 그리 흔한 건 아닙니다만.” 두 번째 취약점은 CVE-2018-16011로, 공개 마감 기한인 120일에 최근 다다른 것으로 보인다. 120일이 지나면 ZDI가 패치 발표 여부와 상관없이 취약점의 세부 내용을 공개한다. 하지만 고렌크는 “어도비가 오늘 이에 대한 패치를 발표했기 때문에 ZDI는 발표하지 않기로 했다”고 설명한다. 어도비는 이번 업데이트를 통해 소프트웨어의 어떤 요소들이 영향을 받았는지 세부적으로 공개하지 않았다. 하지만 대략적인 취약점 설명이 과거 하리리와 아펠트가 발견한 DLL 관련 취약점들과 크게 다르지 않다. PDF 문건 속 콘텐츠에 대한 색인 작업을 허용하게 해주는 취약점이었다. 하리리는 2018년 블로그 게시글을 통해 2014년에 만들어진 라이브러리인 Onix.dll이 검색을 용이하게 해주는 색인을 생성하게 해준다고 설명한 바 있다. 하지만 ZDI 측은 이러한 과거 연구와 이번에 패치된 취약점들 사이에 연결 고리가 있다는 걸 부정하고 있다. “연구자들의 블로그를 통해 공개된 내용과 이번에 다뤄진 취약점들은 서로 상관이 없습니다.” 한편 대중들에게 공개된 취약점들의 수는 전년도에 비해 13% 증가했다. 취약점을 CVE 번호로 분류, 기록하고 관리하는 NVD 측은 “2019년에도 취약점 수는 계속해서 증가할 것”이라고 예상하고 있다. 또한 취약점 픽스마저 무력화시키는 기술들도 늘어나고 있다. 하리리는 12월 블로그 포스트를 통해 “가끔은 기능 자체를 완전히 삭제해야만 문제가 해결되는 경우도 있다”고 쓴 바 있다. 3줄 요약 1. 어도비 아크로뱃과 리더에서의 치명적인 취약점 두 개 패치됨. 2. 어도비는 기술적인 세부 내용을 공개하지 않고 대략적인 내용만 알림. 3. 취약점을 보고한 전문가들은 예전부터 DLL 연구하던 사람들. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
