[보안뉴스 김지언] 어도비 사의 플래시 플레이어, 어도비 리더/어크로뱃, 콜드퓨전에서 취약점이 발견돼 사용자들의 최신버전 업데이트가 필요하다.

어도비 플래시 플레이어에서 발견된 취약점은 6개로 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-0587, CVE-2014-9164), 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8443), 임의코드 실행으로 이어질 수 있는 스택오버플로우 취약점(CVE-2014-9163), 정보 노출 취약점(CVE-2014-9162), 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-0580) 등이 있다.

어도비 리더/어크로뱃에서는 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8454, CVE-2014-8455, CVE-2014-9165), 임의코드 실행으로 이어질 수 있는 힙오버플로우 취약점(CVE-2014-8457, CVE-2014-8460, CVE-2014-9159), 임의코드 실행으로 이어질 수 있는 정수오버플로우 취약점(CVE-2014-8449), 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158), 임의의 파일을 생성할 수 있는 경쟁 상태(Race condition) 취약점(CVE-2014-9150), 자바스크립트 API의 부적절한 구현을 이용한 정보 노출 취약점(CVE-2014-8448, CVE-2014-8451), XML 외부 개체 참조를 이용한 정보 노출 취약점(CVE-2014-8452), 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-8453) 등 20개의 취약점이 나왔다.

어도비 콜드퓨전에서는 서비스 거부 취약점(CVE-2014-9166)이 발견됐다. 이에 영향을 받는 소프트웨어는 다음과 같다.

윈도우즈·맥 환경의 어도비 플래시 플레이어 데스크톱 런타임 사용자는 16.0.0.235버전으로 업데이트 적용해야 하며, 어도비 플래시 플레이어 익스텐디드 서포트 릴리즈 사용자는 13.0.0.259 버전, 리눅스 환경의 어도비 플래시 플레이어 Player 사용자는 11.2.202.245 버전으로 업데이트를 적용해야 한다.

어도비 리더 윈도우 및 맥 환경의 사용자는 각각 홈페이지에서 다운로드하거나, [메뉴]→[도움말]→[업데이트확인]을 이용해 업그레이드해야 한다.

어도비 어크로뱃 사용자는 윈도우 및 맥 환경의 사용자는 각각 홈페이지에서 최신 버전을 설치하거나 [메뉴]→[도움말]→[업데이트확인]을 이용해 업그레이드해야 한다.

어도비 콜드퓨전 11 사용자와 10 사용자는 각각 Adobe ColdFusion Help 문서를 참조해 보안업데이트를 적용하면 된다.

[용어 정리]

Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)해 발생하는 취약점

정수 오버플로우 : 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점

동일 출처 정책(same origin policy) :　특정 도메인에서 로드된 자바스크립트는 다른 도메인의 페이지 및 데이터에 접근할 수 없게 하는 보호 매커니즘

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>