SECURITY NEWS
| [보안뉴스] MS의 긴급 보안 권고문을 통해 드러난 현 개발 방식의 취약점 | ||
|---|---|---|
|
||
|
오토데스크의 소프트웨어 개발 키트인 FBX에서 여러 가지 취약점 발견되고 이 때문에 영향 받는 MS 제품들 있어 긴급 보안 권고문 발표돼...패치는 다음 달[보안뉴스 문가용 기자] 마이크로소프트가 긴급 보안 권고문을 발표했다. 오토데스크의 FBX 소프트웨어에서 발견된 취약점들과 관련된 내용으로, MS의 오피스, 오피스 365, 페인트3D와 같은 제품에 영향을 미친다고 한다.  [이미지 = iclickart] 이번 달 초 오토데스크는 자사의 FBX 소프트웨어 개발 키트에서 발견된 다량의 취약점을 패치한 바 있다. 원격 코드 실행과 디도스 공격 등을 가능케 하는 취약점이었다. FBX 2020.0 및 이전 버전들에 영향을 미치며, 오토데스크에 따르면 그 유형들이 다음과 같이 분류된다고 한다. 1) 버퍼 오버플로우(buffer overflow) 2) 타입 컨퓨전(type confusion) 3) UaF(use-after-free) 4) 정수 오버플로우(integer overflow) 5) 널 포인터 역참조(NULL pointer dereference) 6) 힙 오버플로우(heap overflow) 취약점의 공식 관리 번호와 성격은 다음과 같았다. 1) CVE-2020-7080 : 코드 실행으로 이어짐 2) CVE-2020-7081 : 코드 실행 혹은 디도스 공격으로 이어짐 3) CVE-2020-7082 : 코드 실행 4) CVE-2020-7083 : 디도스 5) CVE-2020-7084 : 디도스 6) CVE-2020-7085 : 코드 실행 문제는 마이크로소프트 제품 일부에서 FBX 라이브러리가 사용된다는 것이다. 그 결과 특수하게 조작된 3D 콘텐츠를 통해 원격 코드 실행이 가능해진다고 MS가 발표했다. 익스플로잇에 성공할 경우 공격자는 현재 사용자와 동일한 권한을 갖게 된다. 공격자가 할 일은 3D 콘텐츠를 만들어 사용자가 열도록 꾀는 것이다. MS는 이러한 요소들에서 3D 콘텐츠가 처리되는 방식을 바꿈으로써 문제를 해결했다고 한다. 패치를 적용하는 것 외에 위험을 감소시킬 방법은 존재하지 않는다고 한다. 이번에 MS가 긴급 권고문을 발표했다고 해서 해당 제품 개발에 있어 MS의 태도가 안일했다고 말할 수는 없다. 다른 조직에서 만든 요소들을 가져와 사용할 경우(현대 제품 개발은 전부 이런 식으로 행해진다), 그 기능만이 아니라 취약점까지 고스란히 가져갈 수밖에 없다는 것이 드러났을 뿐이다. 보안 외신인 시큐리티위크(Securityweek)는 보안 업체 테너블(Tenable)의 엔지니어인 라이언 세구인(Ryan Seguin)의 말을 인용해 “오픈소스 요소였다면 MS가 미리 점검하지 않은 것에 대해 비판을 할 수 있지만, 오토데스크의 것이었기 때문에 MS는 이번처럼 긴급 권고문 발표로 대응하는 것이 최선이었다. 이는 현대 소프트웨어 개발 방식이 갖는 한계점”이라고 짚었다. 한편 MS는 권고문 외 실제 패치는 다음 달 공식 보안 업데이트를 통해 제공할 예정이다. 3줄 요약 1. MS, 오토데스크의 FBX 요소에서 발견된 취약점과 관련된 보안 권고문 발표. 2. 오토데스크에서 발견된 여러 가지 취약점, MS 제품 일부에도 영향 미침. 3. 이번에는 긴급 권고문, 5월 ‘패치 튜즈데이’에 실제 업데이트 배포 예정[출처 : 보안뉴스(https://www.boannews.com/default.asp), https://www.boannews.com/media/view.asp?idx=87779&page=1&mkind=1&kind=1]
|
||
| 이전글 | [보안뉴스] 오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼 | |
| 다음글 | [보안뉴스] 베트남의 APT32, 코로나 정보 찾아 중국 정부 해킹 | |
