어도비가 자사 소프트웨어 제품을 대상으로 보안 업데이트를 진행한다.
이번 업데이트가 정기적으로 진행해온 업무 절차인지, 랜섬웨어의 피해를 막기 위한 조치인지는 명확하지 않다. 최근 해외에선 어도비 플래시 업데이트 파일로 위장한 랜섬웨어가 확산되고 있어 주의가 요구된다는 보도가 나온 바 있다.
14일(현지시간) 씨넷 등 외신은 어도비가 자사 소프트웨어 제품의 보안 업데이트를 진행했다고 보도했다.
보도에 따르면 이번 보안 업데이트 대상 제품은 ‘플래시 플레이어(Flash Player)’, ‘쇼크웨이브 플레이어(Shockwave Player)’, ‘캡터베이트(Captivate)’, ‘디지털 에디션(Digital Editions)’이다.
회사 측은 발견된 취약점 중 14건은 ‘심각’으로 분류하면서, 취약점이 악용될 경우 원격으로 메모리 손상 등을 위한 코드 실행이 가능하다고 경고했다. 심각으로 분류된 취약점은 윈도, 리눅스, 맥 등 대부분의 OS에 영향을 미친다고 전해졌다.
취약점 14건 중에 가장 많은 9건은 플래시 플레이어의 리소스 해제 후 사용(CVE-2017-3075, CVE-2017-3081, CVE-2017-3083, CVE-2017-3084)과 메모리 파괴( CVE-2017-3076, CVE-2017-3077, CVE-2017-3078, CVE-2017-3079, CVE-2017-3082)였다.
또한 이번 업데이트는 윈도용 쇼크웨이브 플레이어에 심각한 메모리 손상 취약점( CVE-2017-3086) 해결도 포함했다.
디지털 에디션스 버전 4.5.5에도 메모리 파괴를 시도할 수 있는 4개의 취약점(CVE-2017-3088, CVE-2017-3089, CVE-2017-3093, CVE-2017-3096)이 발견돼 수정했다.
‘중요’로 분류된 5건의 취약점도 업데이트로 해결했다. 라이브러리 로드 취약점(CVE-2017-3090, CVE-2017-3092, CVE-2017-3097)과 2개의 메모리 주소가 유출될 수 있는 스택 오버플로 취약점(CVE-2017-309, CVE-2017-3095)이다.
관련기사
- "지난해 국내 출몰했던 랜섬웨어, 해외서 또 유포"2017.06.16
- 메조미디어, 어도비와 광고 구매 최적화 위해 손잡아2017.06.16
- "찍으면 디지털 문서된다"...어도비, 무료 스캔 앱 공개2017.06.16
- 어도비 익스피리언스 매니저, AI로 맞춤형 경험 제공2017.06.16
이외에도 일부 캡터베이트 버전은 사용자 정보 유출로 이어질 우려가 있는 부적절한 유효성 검사 취약점(CVE-2017-3087)이 발견되기도 했다.
어도비 측은 자사의 고객들이게 이번 보안 업데이트의 승인 신청을 권장했다.
