[보안뉴스 김지언] 어도비 사의 어도비 플래시 플레이어에서 18개의 보안취약점이 발견됐다.

이번에 발견된 취약점은 △임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-0576, CVE-2014-0581, CVE-2014-8440, CVE-2014-8441) △임의코드 실행으로 이어질 수 있는 ‘use-after-free’ 취약점(CVE-2014-0573, CVE-2014-0588, CVE-2014-8438) △임의코드 실행으로 이어질 수 있는 ‘double free’ 취약점(CVE-2014-0574) △임의코드 실행으로 이어질 수 있는 ‘type confusion’ 취약점(CVE-2014-0577, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0590) △임의코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2014-0582, CVE-2014-0589) △정보 노출 취약점(CVE-2014-8437) △권한 상승으로 이어질 수 있는 버퍼 오버플로우 취약점(CVE-2014-0583) △권한 상승 취약점(CVE-2014-8442) 등으로 이 취약점에 영향을 받는 소프트웨어는 다음과 같다.

이에 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 최신버전으로 업데이트 해야 한다. 각 버전별 세부 업데이트 방법 및 최신버전은 다음과 같다.

△윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime 사용자는 15.0.0.223 버전으로 업데이트 적용 : Adobe Flash Player Download Center에 방문해 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드

△Adobe Flash Player Extended Support Release 사용자는 13.0.0.252 버전으로 업데이트 적용

△리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.418 버전으로 업데이트 적용

△구글 크롬 및 윈도우 8.x 버전의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가 적용

△Adobe AIR desktop runtime 사용자는 15.0.0.356 버전으로 업데이트 적용

△Adobe AIR SDK 와 AIR SDK & Compiler 사용자는 15.0.0.356 버전으로 업데이트 적용 : 홈페이지에 방문해 Adobe AIR SDK 최신 버전을 설치

△안드로이드 Adobe AIR 사용자는 15.0.0.356 버전으로 업데이트 적용 : Adobe AIR가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속→메뉴 선택→내 애플리케이션 선택→Adobe AIR 안드로이드 최신 버전으로 업데이트 하거나 자동업데이트를 허용해 업그레이드

[용어 정리]

Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)해 발생하는 취약점

Double Free 취약점 : 특정 힙 영역을 두 번 해제시켜 메모리 포인터를 조작할 수 있는 취약점

Type Confusion 취약점 : 객체의 타입(type)을 혼동하여 나는 오류 및 취약점

Adobe AIR(Adobe Integrated Runtime) : HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>