중앙처리장치(CPU)에 내재된 동작으로 메모리의 민감한 정보를 유출시킬 수 있는 '스펙터'와 '멜트다운' 보안버그가 큰 파장을 낳고 있는 가운데, 어도비의 플래시플레이어에서도 메모리에서 민감한 정보를 유출시킬 수 있는 버그가 발견됐다.
다행히 버그는 스펙터, 멜트다운같은 CPU관련 보안취약점과 무관하다. 어도비는 버그를 고치고 실제 사용자에게 업데이트를 배포하기 위해 CPU 제조사처럼 운영체제(OS) 개발업체나 컴퓨터 제조사의 협력에 전적으로 의존할 필요가 없다.
![](https://image.zdnet.co.kr/2018/01/11/imc_jz52q1TL56bIkOHL.jpg)
미국 지디넷은 10일(현지시간) 어도비의 보안공지를 인용해 이 위험도가 높은 보안버그(CVE-2018-4871)가 이미 패치된 업데이트를 어도비에서 배포하고 있다고 보도했다. [☞원문보기]
이번에 패치된 플래시 취약점은 컴퓨터가 버퍼의 끝부분을 넘어선 데이터를 읽는 연산을 하는 동안, 즉 메모리를 관리하는 포인터가 다뤄야 할 메모리 범위를 벗어나 내부 데이터구조 필드를 읽는 동안 발생한다. 이 틈에 공격자는 민감한 정보를 빼낼 수 있다는 설명이다.
버그 패치가 필요한 플래시플레이어는 윈도, 리눅스, 맥OS 컴퓨터용 그리고 구글 크롬과 마이크로소프트(MS) 엣지 및 인터넷익스플로러(IE) 브라우저용 28.0.0.126 및 그보다 오래된 버전을 포함한다. 사용자는 즉시 플래시를 업데이트하거나 자동업데이트를 승인하길 권한다. 어도비 보안공지를 통해 수동으로 내려받을 수도 있다. [☞원문보기]
관련기사
- 어도비 플래시 2020년부터 지원 중단2018.01.11
- 어도비, 4년만에 리눅스용 플래시 새 버전…왜?2018.01.11
- 구글, 크롬서 플래시 콘텐츠 차단한다2018.01.11
- 파이어폭스, 최신 버전 아니면 플래시 플레이어 차단2018.01.11
이 취약점은 트렌드마이크로의 '제로데이이니셔티브'를 통해 익명으로 제보됐다.
어도비는 지난달(2017년 12월)에도 취약점 1건(CVE-2017-11305)을 패치했다. 전역 환경설정 파일을 초기화하는 데 악용될 수 있는 비즈니스로직 오류 보안결함이었다.