cyPark

안드로이드OS 보안 업데이트 권고(22.09.22)

□ 개요
 o 구글社는 안드로이드의 취약점을 해결한 보안 업데이트 공지
 o 낮은 버전을 사용 중인 OS 사용자는 최신 버전으로 업데이트 권고

□ 설명 [1]
 o Android runtime에서 발생하는 로컬 권한 상승 취약점 (CVE-2022-22822) 등 4개
 o Android Framework에서 발생하는 로컬 권한 상승 취약점 (CVE-2022-20218) 등 4개
 o Android System에서 발생하는 로컬 권한 상승 취약점 (CVE-2022-20395) 등 3개
 o Android 커널에서 발생하는 정보 공개 취약점 (CVE-2022-20399)
 o Android 커널 컴포넌트에서 발생하는 로컬 권한 상승 취약점 (CVE-2021-4083)
 o Android의 Imagination Technologies 컴포넌트에서 발생하는 Use-After-Free 취약점 (CVE-2021-0697) 등 4개
 o Android의 MediaTek 컴포넌트에서 발생하는 부적절한 입력 검증 취약점 (CVE-2022-26447)
 o Android의 Unisoc 컴포넌트에서 발생하는 버퍼 범위 내 작업에 대한 부적절한 제한 취약점 (CVE-2022-20385) 등 7개
 o Android의 퀄컴 컴포넌트에서 발생하는 Use-After-Free 취약점 (CVE-2022-22095) 등 6개
 o Android의 퀄컴 비공개 소스 컴포넌트에서 발생하는 버퍼 오버플로우 취약점 (CVE-2022-25708) 등 14개
 
□ 영향받는 버전 확인 및 해결방안
 o 취약점 별 영향받는 안드로이드 OS 버전 및 칩셋이 상이하므로 제조사 홈페이지 참고 [2]
 
□ 해결방안
 o 제조사 홈페이지를 참고하여 최신버전으로 업데이트 [3]
 
□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://source.android.com/docs/security/bulletin/2022-09-01
[2] https://source.android.com/security/bulletin
[3] https://support.google.com/android/answer/7680439?hl=ko

(22.09.21)

(22.09.19)

(22.09.16)

(22.09.14)

Adobe 제품 보안 업데이트 권고(22.09.14)

□ 개요
 o Adobe社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
 o 낮은 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

□ 설명
 o Adobe Experience Manager에서 XSS로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-30677) 등 5개 [2]
 o Adobe Experience Manager에서 보안 설계 원칙 위반으로 인해 발생하는 보안 기능 우회 취약점 (CVE-2022-30683) [2]
 o Adobe Experience Manager에서 Reflected XSS로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-30684) 등 5개 [2]
 o Adobe Bridge에서 범위를 벗어난 읽기 및 쓰기로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-35699) 등 7개 [3]
 o Adobe Bridge에서 Use-After-Free로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-35704) [3]
 o Adobe Bridge에서 힙 버퍼 오버플로우로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-35706) 등 2개 [3]
 o Adobe Bridge에서 Use-After-Free로 인해 발생하는 메모리 누수 취약점 (CVE-2022-35709) 등 2개 [3]
 o Adobe InDesign에서 부적절한 입력 검증으로 인해 발생하는 임의 파일 시스템 읽기 취약점 (CVE-2022-28851) [4]
 o Adobe InDesign에서 범위를 벗어난 읽기 및 쓰기로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-28852) 등 4개 [4]
 o Adobe InDesign에서 범위를 벗어난 읽기로 인해 발생하는 메모리 누수 취약점 (CVE-2022-28854) 등 10개 [4]
 o Adobe InDesign에서 힙 버퍼 오버플로우로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38413) 등 3개 [4]
 o Adobe Photoshop에서 범위를 벗어난 읽기 및 쓰기로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-35713) 등 4개 [5]
 o Adobe Photoshop에서 초기화되지 않은 포인터 액세스로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38426) 등 2개 [5]
 o Adobe Photoshop에서 Use-After-Free로 인해 발생하는 메모리 누수 취약점 (CVE-2022-38428) 및 임의 코드 실행 취약점 (CVE-2022-38434) [5]
 o Adobe Photoshop에서 힙 버퍼 오버플로우로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38432) 등 2개 [5]
 o Adobe InCopy에서 힙 버퍼 오버플로우로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38401) 등 3개 [6]
 o Adobe InCopy에서 범위를 벗어난 읽기로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38402) 등 2개 [6]
 o Adobe InCopy에서 범위를 벗어난 읽기로 인해 발생하는 메모리 누수 취약점 (CVE-2022-38406) 등 2개 [6]
 o Adobe Animate에서 힙 버퍼 오버플로우와 범위를 벗어난 읽기로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38411, CVE-2022-38412) [7]
 o Adobe Illustrator에서 부적절한 입력 검증으로 인해 발생하는 임의 코드 실행 취약점 (CVE-2022-38408) [8]
 o Adobe Illustrator에서 범위를 벗어난 읽기로 인해 발생하는 메모리 누수 취약점 (CVE-2022-38409) 등 2개 [8]

□ 영향을 받는 버전 및 제품  

 ※ CVE-2022-28851의 경우 Adobe InDesign 17.4 버전에서만 패치가 이루어졌으므로, 16.x 버전 사용자는 17.4로 업데이트 권고
 ※ 아래의 Adobe 참고사이트에서 “Solution” 항목을 참고하여 업데이트 수행

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://helpx.adobe.com/security/security-bulletin.html
[2] https://helpx.adobe.com/security/products/experience-manager/apsb22-40.html
[3] https://helpx.adobe.com/security/products/bridge/apsb22-49.html
[4] https://helpx.adobe.com/security/products/indesign/apsb22-50.html
[5] https://helpx.adobe.com/security/products/photoshop/apsb22-52.html
[6] https://helpx.adobe.com/security/products/incopy/apsb22-53.html
[7] https://helpx.adobe.com/security/products/animate/apsb22-54.html
[8] https://helpx.adobe.com/security/products/illustrator/apsb22-55.html
[9]

https://experienceleague.adobe.com/docs/experience-manager-cloud-service/content/release-notes/release-notes/release-notes-current.html?lang=en#release-notes

WordPress BackupBuddy 플러그인 보안 업데이트 권고(22.09.14)

□ 개요
 o WordPress의 BackupBuddy 플러그인* 취약점을 해결한 보안 업데이트 발표 [1]
 o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 경우 최신 버전으로 업데이트 권고
 * BackupBuddy 플러그인 : 워드프레스 백업 기능을 제공하는 플러그인
 
□ 설명
 o BackupBuddy에서 발생하는 경로 탐색 취약점 (CVE-2022-31474) [2]

□ 영향을 받는 버전 및 해결 버전

□ 해결 방안
 o 아래 참고 사이트의 ‘What You Should Do’ 부분을 참고하여 최신버전으로 업데이트 적용 [1]

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://ithemes.com/blog/wordpress-vulnerability-report-special-edition-september-6-2022-backupbuddy/
[2] https://www.wordfence.com/blog/2022/09/psa-nearly-5-million-attacks-blocked-targeting-0-day-in-backupbuddy-plugin/

Apple 제품 보안 업데이트 권고(22.09.14)

□ 개요
 o Apple社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
 o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 Apple 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

□ 설명
 o iOS 15.7 및 iPadOS 15.7에서 발생하는 임의 코드 실행 취약점 (CVE-2022-32917) 등 11개 [2]
 o macOS Big Sur에서 발생하는 권한 상승 취약점 (CVE-2022-32900) 등 10개 [3]
 o macOS Monterey에서 발생하는 임의 코드 실행 취약점 (CVE-2022-32911) 등 8개 [4]
 o iOS 16에서 발생하는 주소 표시줄 스푸핑 취약점 (CVE-2022-32795) 등 11개 [5]
 o Safari에서 발생하는 버퍼 오버플로우로 인한 임의 코드 실행 취약점 (CVE-2022-32886) 등 4개 [6]

□ 영향을 받는 버전 및 제품
 o iOS 15.7 및 iPadOS 15.7
  - 아이폰 6s 및 이후 버전
  - iPad Pro(모든 모델)
  - iPad Air 2 및 이후 버전
  - iPad 5세대 및 이후 버전
  - iPad mini 4 및 이후 버전
  - iPod touch 7세대
 o macOS Big Sur
  - 11.7 이전 버전이 설치된 시스템
 o macOS Monterey
  - 12.6 이전 버전이 설치된 시스템
 o iOS 16
  - 아이폰 8 및 이후 버전
 o watchOS
  - 애플 워치 시리즈 4 및 이후 버전
 o tvOS
  - 애플 TV 4K (1, 2세대), 애플 TV HD
 o Safari
  - macOS Big Sur 및 macOS Monterey

□ 해결 방안
 o 아래 참고 사이트의 ‘Apple에서 최신 소프트웨어 업데이트’ 부분을 참고하여 최신버전으로 업데이트 적용 [1]

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://support.apple.com/en-us/HT201222
[2] https://support.apple.com/en-us/HT213445
[3] https://support.apple.com/en-us/HT213443
[4] https://support.apple.com/en-us/HT213444
[5] https://support.apple.com/en-us/HT213446
[6] https://support.apple.com/en-us/HT213442