□ 개요
o Adobe社는 Adobe Acrobat, Reader, Flash Player, Connect 및 Experience Manager의 취약점을 해결한 보안 업데이트 발표
o 낮은 버전 사용자는 악성코드 감염 등에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고
□ 설명
o Adobe Acrobat 및 Reader에서 발생하는 104개의 취약점을 해결한 보안 업데이트를 발표[1]
| 취약점 | 위험도 | CVE 번호 | | 이중 메모리 해제로 인한 임의 코드 실행 취약점 | 심각 | CVE-2018-12782 | | 힙 오버플로우로 인한 임의코드실행 취약점 | 심각 | CVE-2018-5015,CVE-2018-5028, CVE-2018-5032,CVE-2018-5036, CVE-2018-5038,CVE-2018-5040, CVE-2018-5041,CVE-2018-5045,CVE-2018-5052,CVE-2018-5058,CVE-2018-5067,CVE-2018-12785, CVE-2018-12788,CVE-2018-12798 | | 메모리 해제 이후 재사용으로 인한 임의 코드 실행 취약점 | 심각 | CVE-2018-5009,CVE-2018-5011,CVE-2018-5065,CVE-2018-12756,CVE-2018-12770,CVE-2018-12772, CVE-2018-12773,CVE-2018-12776,CVE-2018-12783,CVE-2018-12791,CVE-2018-12792,CVE-2018-12796,CVE-2018-12797 | | 메모리 범위 밖 쓰기로 인한 임의코드 실행 취약점 | 심각 | CVE-2018-5020,CVE-2018-5021,CVE-2018-5042,CVE-2018-5059,CVE-2018-5064,CVE-2018-5069,CVE-2018-5070,CVE-2018-12754,CVE-2018-12755,CVE-2018-12758,CVE-2018-12760,CVE-2018-12771,CVE-2018-12787 | | 보안 기능 우회를 통한 관리자 권한 상승 취약점 | 심각 | CVE-2018-12802 |
| 메모리 범위 밖 읽기로 인한 정보 노출 취약점 | 중요 | CVE-2018-5010, CVE-2018-12803, CVE-2018-5014, CVE-2018-5016,CVE-2018-5017, CVE-2018-5018,CVE-2018-5019,CVE-2018-5022,CVE-2018-5023,CVE-2018-5024,CVE-2018-5025,CVE-2018-5026,CVE-2018-5027,CVE-2018-5029,CVE-2018-5031,CVE-2018-5033,CVE-2018-5035,CVE-2018-5039,CVE-2018-5044,CVE-2018-5046,CVE-2018-5047,CVE-2018-5048,CVE-2018-5049,CVE-2018-5050,CVE-2018-5051,CVE-2018-5053,CVE-2018-5054,CVE-2018-5055,CVE-2018-5056,CVE-2018-5060, CVE-2018-5061,CVE-2018-5062,CVE-2018-5063,CVE-2018-5066,CVE-2018-5068,CVE-2018-12757,CVE-2018-12761,CVE-2018-12762,CVE-2018-12763,CVE-2018-12764,CVE-2018-12765,CVE-2018-12766,CVE-2018-12767,CVE-2018-12768,CVE-2018-12774,CVE-2018-12777, CVE-2018-12779,CVE-2018-12780, CVE-2018-12781,CVE-2018-12786, CVE-2018-12789,CVE-2018-12790, CVE-2018-12795 | | 타입 혼동으로 발생하는 임의 코드 실행 취약점 | 심각 | CVE-2018-5057, CVE-2018-12793,CVE-2018-12794 | | 신뢰되지 않은 메모리 포인터 참조로 인한 임의코드실행 취약점 | 심각 | CVE-2018-5012, CVE-2018-5030 | | 메모리 버퍼 오류로 발생하는 임의코드실행 취약점 | 심각 | CVE-2018-5034, CVE-2018-5037,CVE-2018-5043, CVE-2018-12784 |
o Adobe Flash Player에서 발생하는 2개의 취약점을 해결한 보안 업데이트를 발표[2]
| 취약점 | 위험도 | CVE 번호 | | 메모리 범위 밖 읽기로 인한 정보노출 취약점 | 중요 | CVE-2018-5008 | | 타입 혼동으로 발생하는 임의 코드 실행 취약점 | 심각 | CVE-2018-5007 |
o Adobe Connect에서 발생하는 3개의 취약점을 해결한 보안 업데이트를 발표[3]
| 취약점 | 위험도 | CVE 번호 | | 인증 우회를 통한 중요 정보 노출 취약점 | 중요 | CVE-2018-4994 | | 인증 우회를 통한 세션 탈취 취약점 | 중요 | CVE-2018-12804 | | 안전하지 않은 라이브러리 로딩으로 인한 권한 상승 취약점 | 보통 | CVE-2018-12805 |
o Adobe Experience Manager에서 발생하는 3개의 취약점을 해결한 보안 업데이트를 발표[4]
| 취약점 | 위험도 | CVE 번호 | | 서버 요청 위조를 통한 중요 정보 노출 취약점 | 중요 | CVE-2018-5004, CVE-2018-5006 CVE-2018-12809 |
□ 영향을 받는 제품
o Adobe Acrobat 및 Reader
| 소프트웨어 명 | 동작 환경 | 영향 받는 버전 | | Acrobat DC | 윈도우즈, 매킨토시 | 2018.011.20040 및 이전버전 | | Acrobat Reader DC | | Acrobat 2017 | 2017.011.30080 및 이전버전 | | Acrobat Reader 2017 | | Acrobat DC | 2015.006.30418 및 이전버전 | | Acrobat Reader DC |
o Adobe Flash Player
| 소프트웨어 명 | 동작 환경 | 영향 받는 버전 | | Adobe Flash Player Desktop Runtime | 윈도우즈, 매킨토시, 리눅스 | 30.0.0.113 및 이전 버전 | | Adobe Flash Player for Google Chrome | 윈도우즈, 매킨토시, 리눅스, 크롬OS | | Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 윈도우즈 8.1, 10 |
o Adobe Connect
| 소프트웨어 명 | 동작 환경 | 영향 받는 버전 | | Adobe Connect | 모든 환경 | 9.7.5 및 이전 버전 |
o Adobe Experience Manager
| 소프트웨어 명 | 동작 환경 | 영향 받는 버전 | | Adobe Experience Manager | 모든 환경 | 6.4 6.3 6.2 6.1 6.0 |
□ 해결 방안
o Adobe Acrobat 및 Reader
- Acrobat 및 Reader 사용자는 참고사이트 [1]를 확인하여 최신 보안 업데이트 적용
o Adobe Flash Player
- Flash Player 사용자는 참고사이트 [2]를 확인하여 최신 보안 업데이트 적용
o Adobe Connect
- Adobe Connect 사용자는 참고사이트 [3]를 확인하여 최신 보안 업데이트 적용
o Adobe Experience Manager 사용자
- Adobe Experience Manager 사용자는 참고사이트 [4]를 확인하여 최신 보안 업데이트 적용
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://helpx.adobe.com/security/products/acrobat/apsb18-21.html
[2] https://helpx.adobe.com/security/products/flash-player/apsb18-24.html
[3] https://helpx.adobe.com/security/products/connect/apsb18-22.html
[4] https://helpx.adobe.com/security/products/experience-manager/apsb18-23.html
|