중앙처리장치(CPU)에 내재된 동작으로 메모리의 민감한 정보를 유출시킬 수 있는 '스펙터'와 '멜트다운' 보안버그가 큰 파장을 낳고 있는 가운데, 어도비의 플래시플레이어에서도 메모리에서 민감한 정보를 유출시킬 수 있는 버그가 발견됐다.
다행히 버그는 스펙터, 멜트다운같은 CPU관련 보안취약점과 무관하다. 어도비는 버그를 고치고 실제 사용자에게 업데이트를 배포하기 위해 CPU 제조사처럼 운영체제(OS) 개발업체나 컴퓨터 제조사의 협력에 전적으로 의존할 필요가 없다.
미국 지디넷은 10일(현지시간) 어도비의 보안공지를 인용해 이 위험도가 높은 보안버그(CVE-2018-4871)가 이미 패치된 업데이트를 어도비에서 배포하고 있다고 보도했다. [☞원문보기]
이번에 패치된 플래시 취약점은 컴퓨터가 버퍼의 끝부분을 넘어선 데이터를 읽는 연산을 하는 동안, 즉 메모리를 관리하는 포인터가 다뤄야 할 메모리 범위를 벗어나 내부 데이터구조 필드를 읽는 동안 발생한다. 이 틈에 공격자는 민감한 정보를 빼낼 수 있다는 설명이다.
버그 패치가 필요한 플래시플레이어는 윈도, 리눅스, 맥OS 컴퓨터용 그리고 구글 크롬과 마이크로소프트(MS) 엣지 및 인터넷익스플로러(IE) 브라우저용 28.0.0.126 및 그보다 오래된 버전을 포함한다. 사용자는 즉시 플래시를 업데이트하거나 자동업데이트를 승인하길 권한다. 어도비 보안공지를 통해 수동으로 내려받을 수도 있다. [☞원문보기]
관련기사
- 어도비 플래시 2020년부터 지원 중단2018.01.11
- 어도비, 4년만에 리눅스용 플래시 새 버전…왜?2018.01.11
- 구글, 크롬서 플래시 콘텐츠 차단한다2018.01.11
- 파이어폭스, 최신 버전 아니면 플래시 플레이어 차단2018.01.11
이 취약점은 트렌드마이크로의 '제로데이이니셔티브'를 통해 익명으로 제보됐다.
어도비는 지난달(2017년 12월)에도 취약점 1건(CVE-2017-11305)을 패치했다. 전역 환경설정 파일을 초기화하는 데 악용될 수 있는 비즈니스로직 오류 보안결함이었다.
