프레임메이커에서 치명적 취약점 세 개 발견...2019.0.6으로 업데이트 해야 안전
과거 해커 선호도 1위였던 플래시 플레이어에서도...32.0.0.387로 업데이트 해야

[보안뉴스 문가용 기자] 어도비가 플래시 플레이어(Flash Player)와 프레임메이커(Framemaker)에서 발견된 치명적인 취약점 네 개에 대한 패치를 발표했다. 이 취약점들을 성공적으로 익스플로잇 할 경우 임의 코드 실행이 가능하다고 한다.


먼저 프레임메이커에서는 세 가지 치명적 위험도의 취약점들이 발견됐다.
1) CVE-2020-9634 : 아웃 오브 바운드 라이트(out-of-bounds write)
2) CVE-2020-9635 : 아웃 오브 바운드 라이트(out-of-bounds write)
3) CVE-2020-9636 : 메모리 변형

보안 업체 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(Zero Day Initiative, ZDI)를 담당하고 있는 더스틴 차일즈(Dustin Childs)는 CVE-2020-9634에 대해 “GIF 파일들을 검사하는 과정 중에 발동된다”고 설명하며 “할당된 객체 외부에서 쓰기를 할 수 있게 해준다”고 설명했다. CVE-2020-9635도 이와 비슷한데, GIF가 아니라 PDF 문서일 때 문제가 된다고 한다.

CVE-2020-9636은 익스플로잇 되었을 때 여러 가지 악성 행위를 가능하게 하는데, 프로그램이 긴급히 종료되게 하거나 임의 코드 실행으로도 이어질 수 있다. 이를 찾아낸 건 보안 업체 포티넷(Fortinet)의 홍강 렌(Honggang Ren)이라는 보안 전문가다. 이 세 가지 취약점이 발견된 건 윈도우용 프레임메이커 2019.0.5 및 하위 버전들이다. 2019.0.6이 최신 버전이다.

플래시 플레이어에서 발견된 치명적 취약점은 CVE-2020-9633이다. 윈도우용, 맥OS용, 리눅스용 어도비 플래시 플레이어 데스크톱 런타임(Adobe Flash Player Desktop Runtime)과, 구글 크롬용, 마이크로소프트 에지용, 인터넷 익스플로러 11용 어도비 플래시 플레이어(윈도우, 맥OS, 리눅스, 크롬OS)에서 발견됐다. 32.0.0.330 및 하위 버전이 취약하며, 32.0.0.387 버전으로의 업데이트가 요구된다. 이 취약점의 경우 익스플로잇 할 경우 현재 사용자의 컨텍스트 내에서 임의 코드 실행 공격을 할 수 있게 된다고 어도비는 보안 권고문을 통해 밝혔다.

플래시는 사이버 공격자들이 크게 선호하는 소프트웨어 중 하나다. 익스플로잇 키트가 성행하던 시절 플래시 플레이어의 선호도는 한동안 1위를 기록했었다. 그래서 어도비는 2017년 7월, 2020년 말부터는 플래시를 더 이상 개발하지 않고 출시하지도 않겠다고 발표했다.

그 외에도 엑스페리언스 매니저(Experience Manager)에서 6개의 중요 등급 취약점들이 이번 패치를 통해 해결됐다. 6.5 및 하위 버전들 전부가 취약하다고 한다.
1) CVE-2020-9643 : 서버 측 요청 조작 취약점
2) CVE-2020-9645 : 서버 측 요청 조작 취약점
3) CVE-2020-9647 : XSS 취약점
4) CVE-2020-9648 : XSS 취약점
5) CVE-2020-9651 : XSS 취약점
6) CVE-2020-9644 : XSS 취약점

어도비는 6월에 해결된 취약점들 중 실제 공격에 활용된 사례는 아직까지 없다고 발표했다. 지난 달 어도비는 정기 패치를 통해 16개의 치명적인 취약점을 해결했을 뿐만 아니라 긴급 패치도 발표했었다. 긴급 패치는 어도비 캐릭터 애니메이터(Adobe Character Animator)에서 발견된 취약점을 해결하기 위한 것이었다.

3줄 요약
1. 오늘은 어도비의 정기 패치일.
2. 과거 해커들의 선호도 1위를 달렸던 플래시 플레이어에서도 치명적 취약점 등장.
3. 그 외 프레임메이커에서도 치명적 취약점이 3개 나옴.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>