어도비, Magento의 치명적인 취약점 패치해

 

 

Adobe fixes critical flaws in Magento, patch it immediately

 

어도비가 2021년 8월 보안 업데이트를 통해 Magento의 치명적인 취약점, Adobe Connect에서 발견한 중요 이슈를 포함한 취약점 총 29개를 패치했습니다.

 

APSB21-64 Security updates available for Magento

APSB21-66 Security update available for Adobe Connect

 

공격자는 치명적인 취약점 여러 개를 악용해 임의 코드를 실행할 수 있습니다.

 

또한 Magento는 26개 취약점을 수정하는 업데이트를 발표했습니다. 이 중 10개는 인증되지 않은 공격자가 악용 가능한 사전 인증 취약점입니다.

 

원격 공격자는 위 취약점 중 일부를 악용해 코드를 실행하고 인터넷 상점을 제어할 수 있게 됩니다.

 

전문가들은 아직까지 이 취약점이 실제 공격에 악용된 사례를 찾지 못했지만, 관리자는 가능한 빠른 시일 내 해당 업데이트를 설치할 것을 권장합니다.

 

또한 어도비는 Adobe Reader의 취약점 26개를 패치하는 업데이트를 발표했습니다. 이 중 대부분은 OOB(Out-Of-Bounds) 읽기 취약점이며 UAF(Use-After-Free), OOB 쓰기, 스택 고갈, 메모리 손상 취약점도 포함되어 있었습니다.

 

ZDI는 이에 대해 아래와 같이 밝혔습니다.

 

"수정된 취약점 중 하나는 ZDI 취약점 분석 관리자인 Abdul-Aziz Hariri가 발견한 CVE-2020-9697입니다. 이 신뢰할 수 있는 정보 공개 유출 취약점은 10년 이상 동안 존재한 것으로 추측됩니다. 트위터를 통해 해당 취약점에 대한 PoC를 공개할 것입니다. ”

 

또 다른 흥미로운 이슈는 공격자가 Acrobat Pro DC 내 HTML 파싱 완화를 우회하도록 허용하는 취약점인 CVE-2020-9712입니다.

 

이 취약점은 공격자가 Acrobat내에서 원격으로 HTML 문서를 파싱하여 촉발시킬 수 있습니다.

 

또한 Adobe Lightroom의 권한 상승 취약점도 이번 패치를 통해 수정되었습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/121028/security/magento-critical-flaw.html

https://www.zerodayinitiative.com/blog/2020/8/11/the-august-2020-security-update-review