알집(ALZip) 보안 업데이트 권고

□ 개요

 o 이스트소프트社의 알집에서 ACE 압축 포맷 취약점(CVE-2018-20250)을 해결한 업데이트 발표 [1]

 o 영향 받는 버전을 사용 중인 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

□ 설명

 o ACE 압축 포맷을 위해 사용하는 동적 라이브러리의 설계가 미흡하여 임의 폴더에 악성파일을 저장할 수 있는 취약점(CVE-2018-20250)

  ※ unacev2.dll : ACE 저장 형식을 사용하기 위해 사용되는 동적 라이브러리

□ 영향 받는 제품

 o 알집

  - 10.86 이하 버전

□ 해결 방안

 o 제조사 홈페이지 또는 알집 업데이트 알림창을 참고하여 취약점이 해결된 버전(10.87) 버전으로 업데이트 수행 [1]

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://www.altools.co.kr/Support/Notice_Contents.aspx?idx=1712&page=1&t=2

반디집 보안 업데이트 권고

□ 개요

 o 반디소프트(BANDISOFT)의 반디집에서 ACE 압축포맷에서 발생하는 취약점(CVE-2018-20250)을 해결한 업데이트 발표 [1]

 o 취약점 정보가 외부에 공개되어 있어 영향 받는 버전을 이용중인 사용자는 악성코드 감염에 취약할 수 있으므로, 해결방안에 따라 업데이트 권고

□ 설명

 o 반디집에서 특정 압축 포맷을 위해 사용하는 동적 라이브러리*의 설계가 미흡하여 임의 폴더에 악성파일을 저장할 수 있는 취약점(CVE-2018-20250)

  ※ unacev2.dll : ACE 저장 형식을 사용하기 위해 사용되는 동적 라이브러리

□ 영향을 받는 제품

 o 반디집

  - 6.20을 포함한 이전 버전

□ 해결 방안

 o 최신 버전 업데이트

  - 반디집 6.21 이상 버전으로 업데이트 [2]

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://kr.bandisoft.com/bandizip/history/

[2] https://www.bandisoft.com/bandizip/

WinRAR 보안 업데이트 권고

□ 개요

 o RARLAB의 WinRAR에서 임의폴더에 파일 생성 가능 취약점 발견 [1]

 o 취약한 버전 사용자는 악성코드 감염에 취약할 수 있으므로, 해결방안에 따라 업데이트 권고

□ 설명

 o WinRAR에서 unacev2.dll 라이브러리의 설계가 미흡하여 임의 폴더에 악성파일 해제가 가능

    이를 통해, 윈도우 시작프로그램 폴더에 악성 파일을 생성하여 실행이 가능한 취약점(CVE-2018-20250) [1]

  ※ unacev2.dll : WinRAR에서 ACE 저장 형식을 사용하기 위해 사용되는 동적 라이브러리

□ 영향을 받는 제품

 o WinRAR

  - 5.70 이전 버전

□ 해결 방안

 o 최신 버전 업데이트

  - WinRAR 5.70 이상 버전으로 업데이트 [2]

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://nvd.nist.gov/vuln/detail/CVE-2018-20250

[2] https://www.win-rar.com/download.html