Adobe Flash Player, Photoshop, Bridge 신규 취약점 보안 업데이트 권고

[보안뉴스 김경애] 어도비(Adobe) 사는 Photoshop CC, Bridge CC에서 발생하는 취약점과 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다. 따라서 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 최신 버전으로 업데이트해야 한다.


발견된 25개 취약점은 △임의코드 실행으로 이어질 수 있는 유형 혼돈 취약점(CVE-2016-0985) △임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2016-0973, CVE-2016-0974, CVE-2016-0975, CVE-2016-0982, CVE-2016-0983, CVE-2016-0984) 등으로 보안업데이트가 완료됐다.

또한 △임의코드 실행으로 이어질 수 있는 힙 버퍼 오버플로우 취약점(CVE-2016-0971) △임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2016-0951, CVE-2016-0952, CVE-2016-0953, CVE-2016-0964, CVE-2016-0965, CVE-2016-0966, CVE-2016-0967, CVE-2016-0968, CVE-2016-0969, CVE-2016-0970, CVE-2016-0972, CVE-2016-0976, CVE-2016-0977, CVE-2016-0978, CVE-2016-0979, CVE-2016-0980, CVE-2016-0981) 등도 해결됐다.

영향을 받는 소프트웨어는 다음과 같다.


이에 따라 윈도우즈, 맥 환경의 Adobe Photoshop CC 사용자는 Adobe Photoshop CC 2015 16.1.2(2015.1.2) 버전 또는 Adobe Photoshop CC 2014 15.2.4(2014.2.4) 버전으로 업데이트를 적용해야 한다.

또한, 윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime 사용자는 20.0.0.306(Internet Explorer) 버전으로 업데이트 해야 한다.

이를 위해서는 Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문해 최신 버전을 설치하고, 자동 업데이트를 이용해 업그레이드해야 한다. Adobe Flash Player Extended Support Release 사용자는 18.0.0.329 버전으로 업데이트를 적용해야 한다.

리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.569 버전으로 업데이트를 적용해야 한다. 또한, 구글 크롬 및 Microsoft Edge의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트를, AIR desktop runtime, AIR SDK 과 Compiler, AIR for Android 사용자는 20.0.0.260 버전으로 업데이트를 적용해야 한다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터에 문의(국번 없이 118)하면 된다.

[용어 정리]
Double Free 취약점 : 특정 힙 영역을 두번 해제시켜 메모리 포인터를 조작할 수 있는 취약점

Use-After-Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점

[참고사이트]
[1] https://helpx.adobe.com/security/products/photoshop/apsb16-03.html
[2] https://helpx.adobe.com/security/products/flash-player/apsb16-04.html
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>