[보안뉴스 권 준] 미국 국토안보부 산하 컴퓨터비상대응팀(U.S. Computer Emergency Readiness Team, US-CERT)은 어도비 사의 Shockwave Player에서 취약점이 발견됐다고 밝혔다.

해당 취약점은 취약한 버전의 Shockwave Player의 경우 공격자가 사용자 권한으로 임의의 코드를 실행할 수 있는 것으로 알려졌다. 

US-CERT 측은 “Shockwave Player의 11.6.8.638 버전 및 그 이전 버전을 어도비 사의 ‘Full’ 설치방법을 통해 설치했을 경우 취약점에 영향을 받을 수 있다”며, “이는 Adobe Flash Player 10.2.159.1 이전 버전까지도 모두 포함된다”고 밝혔다.

Shockwave Player는 범용적인 플래시 플러그인 설치방식 대신에 사용자 맞춤형의 플래시 런타임 방식을 사용하는데, 이 과정에서 특별히 제작된 Shockwave 컨텐츠를 통해 공격자가 사용자 권한으로 임의의 코드를 실행할 수 있다.  

이번 취약점의 해결책과 관련해 US-CERT 측은 “Shockwave Player를 제거하는 것으로 자신의 PC를 보호할 수 있다”면서 “이와 함께 ‘killbit’ 기능을 통해 인터넷 익스플로러에서 Shockwave Player ActiveX 컨트롤 설치를 차단할 수 있다”고 덧붙였다.   

이와 관련 어도비시스템즈 측은 2013년 2월 출시되는 Shockwave Player 차기 버전에서 이 문제를 해결해 반영할 것이라고만 언급한 것으로 알려졌다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>