중요한 Adobe 결함으로 인해 공격자가 브라우저에서 JavaScript를 실행할 수 있음
Adobe는 정기적으로 예정된 패치의 일부로 Experience Manager에서 다섯 가지 중요한 교차 사이트 스크립팅 결함을 수정했습니다.
Adobe는 웹 사이트, 모바일 앱 및 양식을 구축하기 위해 널리 사용되는 Experience Manager 콘텐츠 관리 솔루션의 5 가지 중요한 결함을 해결하는 수정 사항을 발표했습니다. 크로스 사이트 스크립팅 (XSS) 결함으로 인해 공격자가 대상의 브라우저에서 JavaScript를 실행할 수 있습니다.
Adobe Experience Manager를 포함하여 Adobe는 정기적으로 예정된 9 월 업데이트의 일환으로 18 개의 결함을 수정했습니다. 또한 크고 복잡한 문서를 작성하고 편집하기 위해 설계된 문서 프로세서 인 Adobe Framemaker의 결함도 해결했습니다. InDesign, 데스크톱 출판 및 조판 소프트웨어 응용 프로그램입니다.
“이러한 취약점의 악용으로 인한 영향은 중요도에 관계없이 모든 조직이 개인 정보를 공개하거나 네트워크를 통한 손쉬운 측면 이동 또는 중요한 정보를 도용 할 수있는 기회를 제공 할 수 있습니다. Automox의 수석 기술 제품 관리자 인 Richard Melick은 이메일을 통해 마케팅과 중요한 정보에 대한 자유로운 액세스를 제공합니다. "가능한 한 빨리 이러한 취약점을 패치하는 것이 중요합니다."
Adobe 는 Experience Manager에서 전체적으로 11 개의 버그를 패치 했습니다 . 그 중 5 개는 심각한 심각도 등급이고 나머지는 "중요한"심각도입니다. 중요한 결함은 모두 XSS 결함입니다 (CVE-2020-9732, CVE-2020-9742, CVE-2020-9741, CVE-2020-9740 및 CVE-2020-9734).
Adobe에 따르면 "이러한 취약점을 성공적으로 악용하면 브라우저에서 임의의 JavaScript가 실행될 수 있습니다."
5 가지 중요 심각도 결함에는 불필요한 권한으로 실행을 허용하는 문제가 포함되어 민감한 정보 공개 (CVE-2020-9733), 사이트 간 스크립팅 결함 4 개 (CVE-2020-9735, CVE-2020-9736, CVE-2020)가 있습니다. -9737, CVE-2020-9738) 및 브라우저에서 임의의 HTML 삽입을 허용하는 HTML 삽입 결함 (CVE-2020-9743).
다음은 영향을받는 제품 솔루션 목록입니다. 수정 사항은 버전 6.5.6.0 및 버전 6.4.8.2 (AEM 양식 추가 기능 사용자 용 AEM Forms 서비스 팩 6)에서 사용할 수 있습니다.
Adobe Experience Manager에 대한 업데이트는 "우선 순위 2"를 받았습니다. 즉, "역사적으로 위험이 높은"제품의 결함을 해결했지만 알려진 악용 사례가 없습니다.
“이전 경험에 비추어 볼 때 익스플로잇이 임박 할 것으로 예상하지 않습니다. 모범 사례로서 Adobe는 관리자가 업데이트를 곧 (예 : 30 일 이내) 설치할 것을 권장 합니다. ”라고 Adobe는 말합니다 .
Adobe Framemaker 결함
Windows 용 Adobe Framemaker 버전 2019.0.6 이하에서는 두 가지 중요한 결함 이 있습니다. Adobe는 Windows 용 2019.0.7 버전에서 결함에 대한 패치를 발표했습니다. ZDI (Zero Day Initiative)를 진행하는 익명의 기자가 이러한 결함을 발견 한 공로를 인정 받았습니다.
두 가지 결함 중 하나는 임의 코드 실행으로 이어질 수있는 범위를 벗어난 읽기 결함 (CVE-2020-9726)이었습니다. 범위를 벗어난 읽기는 소프트웨어가 의도 된 버퍼의 끝 또는 시작 이전에 데이터를 읽어 공격자가 다른 메모리 위치에서 중요한 정보를 읽거나 충돌을 일으킬 수 있도록하는 것입니다.
Trend Micro ZDI의 통신 관리자 Dustin Childs에 따르면 프레임 메이커 (FM) 파일의 구문 분석에 결함이 존재합니다. 특히 FM 파일의 제작 된 데이터는 할당 된 버퍼의 끝을지나 읽기를 트리거 할 수 있다고 그는 말했다.
두 번째로 중요한 결함은 스택 기반 버퍼 오버플로 오류 (CVE-2020-9725)로, 임의 코드 실행도 가능하게 할 수 있습니다. 여기에서 특정 결함은 FM 파일의 구문 분석에도 존재한다고 Childs는 Threatpost에 말했다. 이 문제는 고정 된 길이의 스택 기반 버퍼에 복사하기 전에 사용자가 제공 한 데이터의 길이에 대한 적절한 검증이 없기 때문에 발생한다고 그는 말했다.
“두 경우 모두 공격자는 이러한 취약성을 활용하여 현재 프로세스의 컨텍스트에서 코드를 실행할 수 있습니다. 공격자는 사용자가 코드를 실행하기 위해 특수 제작 된 파일을 열도록 유도해야합니다.”라고 Childs는 Threatpost에 말했습니다.
이 업데이트는 우선 순위 등급 3을 받았습니다. 즉, "역사적으로 공격자의 표적이 아니었던 제품의 취약점을 해결합니다. Adobe는 관리자가 재량에 따라 업데이트를 설치할 것을 권장합니다.”라고 권고합니다.
InDesign 결함
Windows 및 MacOS 용 Adobe InDesign에서 다섯 가지 중요한 결함이 발견되었습니다. 버전 15.1.1 이하가 영향을 받았습니다. 고정 버전은 InDesign 15.1.2입니다.
성공적인 결함의 착취 (CVE-2020-9727, CVE-2020-9728는 CVE-2020-9729는 CVE-2020-9730는 CVE-2020-9731)는 현재 사용자의 컨텍스트에서 임의의 코드가 실행될 수있다.
Fortinet의 FortiGuard Labs의 Kexu Wang은이 문제를보고 한 공로를 인정 받았습니다. 이러한 결함에 대한 업데이트는 "우선 순위 3"패치도 받았습니다.
화요일 Adobe에 따르면 "Adobe는 이러한 업데이트에서 해결 된 문제에 대한 악용 사례를 전혀 알지 못합니다."