사용자 시스템 제어 취약점에 대한 보안 업데이트 발표

[보안뉴스 민세아] Adobe사는 지난 13일 Windows, Macintosh 및 Linux용 Adobe Flash Player, Adobe AIR 등에 대한 보안 업데이트를 발표했다. 이러한 업데이트는 공격자가 해당 시스템을 제어할 수 있는 취약점을 해결한다. Adobe는 사용자들이 최신 버전으로 업데이트 할 것을 권고하고 있다.

업데이트 된 취약점은 다음과 같다. △파일 검증 부재 취약점(CVE-2015-0301) △키보드 입력 값 가로채기가 가능한 정보노출 취약점(CVE-2015-0302) △임의 코드 실행이 가능한 메모리 접근 가능 취약점(CVE-2015-0303, CVE-2015-0306) △임의 코드 실행이 가능한 힙 버퍼오버플로우 취약점(CVE-2015-0304, CVE-2015-0309) △임의 코드 실행이 가능한 Type Confusion 취약점(CVE-2015-0303, CVE-2015-0306) △메모리 주소 노출이 가능한 Out-of-bounds 읽기 가능 취약점(CVE-2015-0307) △임의 코드 실행이 가능한 User-after-free 취약점(CVE-2015-0308)

해당 취약점에 대한 해결방안은 사용하는 환경과 버전에 따라 다르다. Windows, Mac 환경의 Adobe Flash Player desktop runtime 사용자는 Adobe Flash Player 16.0.0.257 버전으로 업데이트 하거나 Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문해 최신 버전을 설치하면 된다.

또한 Adobe Flash Player Extended Support Release 사용자는 13.0.0.260 버전으로 업데이트를 적용하면 된다.

이외에 Linux 환경의 Adobe Flash Player 사용자는 11.2.202.429 버전으로 업데이트를 적용하고, Adobe AIR desktop runtime 사용자는 16.0.0.245 버전으로 업데이트 적용할 수 있다. Adobe AIR SDK 및 AIR SDK and Compiler 사용자는 16.0.0.272 버전으로 업데이트를 적용하면 된다.

Android 환경의 Adobe AIR 사용자는 16.0.0.272 버전으로 업데이트 적용 가능하다.

Google Chrome 및 Windows 8.x의 Internet Explorer에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가 적용된다.

해당 취약점과 관련한 기타 문의사항은 아래의 사이트나 한국인터넷진흥원 인터넷침해대응센터(KISC) 홈페이지를 참고하면 된다.

[참고사이트]

http://helpx.adobe.com/security/products/flash-player/apsb15-01.html

[용어정리]

Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점

Type Confusion 취약점 : 객체의 타입(type)을 혼동하여 나는 오류 및 취약점

Adobe AIR(Adobe Integrated Runtime) : HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>