플래시 플레이어와 엔코더에서 각각 치명적인 취약점 한 개씩 나와
원격 코드 실행 및 정보 노출 가능케 하는 취약점들...공격 가능성 낮아

[보안뉴스 문가용 기자] 어도비의 2019년 5월 정기 패치가 발표됐다. 플래시 플레이어(Flash Player)에서의 치명적인 취약점 한 개를 비롯해 아크로뱃(Acrobat) 제품들에서 80개가 넘는 오류들이 다뤄졌다. 그 외에도 여러 가지 치명적인 취약점들이 패치됐다.


윈도우용과 iOS용 아크로뱃 및 아크로뱃 리더(Acrobat Reader)에서 발견되고 이번 패치로 해결된 취약점은 총 84개다. 대부분 힙 오버플로우(heap overflow), 버퍼 관련 오류, 더블 프리(double free), UaF, 타입 컨퓨전(type confusion), 아웃 오브 바운드 라이트(out-of-bounds write) 문제들로 나뉘며, 임의 코드 실행으로 이어질 수 있게 해준다고 한다. 그 외에 정보 노출을 야기하는 아웃 오브 바운드 리드(out-of-bounds read) 문제도 다수 포함되어 있었다.

이번에 다뤄진 취약점들을 발견한 보안 전문가들은 20명이 넘으며, 어도비는 이들에게 감사한다는 말을 남겼다.

플래시 플레이어의 경우 이번 정기 패치에 있던 단 한 개의 치명적인 취약점을 내포하고 있었다. UaF 취약점으로, 익스플로잇 될 경우 공격 표적이 된 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있게 된다. 윈도우용, 맥OS용, 리눅스용, 크롬OS용 모두 이 취약점을 가지고 있었다.

이 취약점의 CVE 번호는 CVE-2019-7837로, 한 익명의 보안 전문가가 트렌드 마이크로(Trend Micro)의 제로데이이니셔티브(ZDI)를 통해 알렸다고 한다.

그 외에 어도비 미디어 엔코더(Adobe Media Encoder) 제품에서도 치명적인 취약점이 발견돼 패치했다. 이 취약점은 파일 점검과 관련된 취약점으로 원격 공격자가 코드를 실행할 수 있도록 해준다고 한다.

어도비는 “이 취약점들 중 어떤 것이라도 아직 실제 공격에서 사용된 사례가 없다”고 주장했다. 또한 “치명적 등급을 받은 취약점들이 다수 있긴 하지만 패치 우선순위도 높지는 않은 것”이라며, “이는 실제 익스플로잇 가능성이 매우 낮기 때문”이라고 설명했다.

지난 3월 1일 어도비는 자사의 콜드퓨전(ColdFusion) 웹 애플리케이션 개발 플랫폼에 적용되는 비정기 업데이트를 발표하기도 했었다. 해커들이 이미 공격에 활용하고 있는 치명적인 제로데이 취약점이 발견됐기 때문이다.

3줄 요약
1. 어도비, 5월 정기 패치 통해 80개가 넘는 취약점 다룸.
2. 특히 아크로뱃과 아크로뱃 리더 제품에 집중되어 있음.
3. 아직 실제 활용된 사례가 없다는 어도비, 실제 공략 가능성도 낮다고 주장.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>