취약점 두 개 다 힙 오버플로우 버그로 임의 코드 실행 가능케 해
그러나 실제 공격 가능성은 낮다고 판단...이번 달 초에도 긴급 패치 있어

[보안뉴스 문가용 기자] 어도비가 3월의 정기 패치를 진행했다. 이를 통해 포토샵 CC(Photoshop CC)와 디지털 에디션(Digital Editions) 제품들에서 발견된 치명적인 취약점들이 해결됐다.


디지털 에디션의 전자책 리더 소프트웨어에서 발견된 취약점은 CVE-2019-7095로 힙 오버플로우(heap overflow)를 일으키는 버그다. 공격자가 익스플로잇 할 경우 ‘현재 사용자’ 맥락에서 임의의 코드를 실행할 수 있게 된다. 이 취약점은 albalawi-s라는 이름을 사용하는 한 보안 전문가가 어도비에 알린 것이라고 한다.

윈도우와 맥OS용 포토샵 CC에서도 취약점이 발견됐고, 이 역시 이번 패치에 반영됐다. 이 취약점은 CVE-2019-7094로 위 취약점과 동일한 힙 오버플로우 버그며, 공격자가 이를 통해 ‘현재 사용자’ 맥락에서 임의의 코드를 실행할 수 있게 해준다. 프란시스 프로벤처(Francis Provencher)라는 보안 전문가가 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(Zero Day Initiative)를 통해 보고했다.

어도비는 위에 언급된 취약점들이 실제 공격에 활용되었다는 증거를 찾지 못했다고 말했다. 다만 취약점의 위험도를 분석했을 때, 가장 위험한 ‘치명적’ 등급을 줄 수밖에 없다고 밝혔다. 우선 순위 점수는 3점을 받았는데, 이는 ‘위험한 취약점이긴 하지만 실제 공격에 활용될 가능성은 낮다’는 걸 뜻한다.

사이버 보안 실험 업체인 스와스칸(Swascan)은 현지 시각으로 월요일 adobesandbox.com에 호스팅 된 어도비 샌드박스 서비스에서 5개의 취약점을 발견했다고 주장했다. 그러나 해당 취약점의 기술적 정보는 공유하지 않았다.

스와스칸은 취약점들의 점수는 공개했는데, 한 개는 ‘고위험군’, 두 개는 ‘중간급’, 나머지 두 개는 ‘낮은’ 위험도를 가졌다고 주장했다. 이 취약점들을 익스플로잇 할 경우 시스템의 무결성, 가용성, 기밀성을 손쉽게 해칠 수 있다고 한다. 어도비는 스와스칸이 발견한 취약점을 이번 달 정기 패치에 포함시키지 않았다.

어도비는 해외의 매체와의 인터뷰에서 “스와스칸이 발견한 취약점들은 어도비가 고객들에게 설명과 시연, 실험을 위한 목적으로 제공한 환경에 영향을 주는 것”이라며 “이 환경 자체는 악성 PDF 파일로부터 사용자들을 보호하기 위해 만들어진 어도비 리더 샌드박스와는 관련이 없다”고 설명했다.

어도비는 이번 달 초 콜드퓨젼(ColdFusion) 제품에서 발견된 치명적인 취약점에 대한 긴급 패치를 발표하기도 했다. 이 취약점은 치명적인 위험도를 가지고 있으면서, 이미 해커들에 의해 악용되고 있었다.

3줄 요약
1. 오늘은 어도비도 정규 패치를 발표하는 날.
2. 포토샵과 디지털 에디션에서 발견된 치명적인 취약점이 픽스됨.
3. 이번 달 초에는 콜드퓨젼에서 발견된 치명적 취약점도 해결했던 바 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>