지돌스타 - 쿠키랩 블로그

□ 개요

   o Adobe Flash Player에서 입력 검증 오류, 버퍼오버플로, 클릭재킹 등의 다수 취약점이
      발견되어 보안 업데이트가 발표됨[1]
   o 낮은 버전의 Adobe Flash Player 사용으로 악성코드 감염 등의 사고가 발생할 수 있음으로
      사용자의 주의 및 최신버전 설치가 권고됨

□ 해당프로그램

   o Adobe Flash Player 10.0.12.36 이하 버전이 설치된 Linux 제외 모든 운영체제
   o Adobe Flash Player 10.0.12.36 이하 버전 - 내부 네트워크 배포용
   o Adobe Flash Player 10.0.15.3 이하 버전이 설치된 Linux 운영체제
   o Adobe AIR 1.5 버전
   o Adobe Flash CS4 Professional에서 사용되는 Adobe Flash Player 10.0.22.87 이전버전
   o Adobe Flash CS3 Professional에서 사용되는 Adobe Flash Player / Debug Player 9.0.159.0
      이전버전
   o Adobe Flex 3에서 사용되는 Adobe Flash Debug Player 10.0.22.87 이전버전

□ 설명

   o Adobe Flash Player 취약점에 대한 보안 업데이트(총 5건)가 아래와 같이 발표됨
     ① Adobe Flash Player가 개체를 삭제하는 과정에서 개체에 할당된 메모리를 적절히 해제하지
         않아 발생하는 원격코드 실행 가능한 버퍼오버플로 취약점[2](CVE-2009-0520)
     ② Adobe Flash Player가 부적절하게 입력 검증하는 과정에서 발생하는 서비스 거부 취약점[3]
        (CVE-2009-0519)
     ③ Adobe Flash Player의 설정 관리자로 인한 클릭재킹 취약점[4](CVE-2009-0114)
     ④ Windows 운영체제에서 마우스 포인터를 출력할 때 발생하는 클릭재킹 취약점[5]
        (CVE-2009-0522)
     ⑤ Linux 운영체제에서 권한 상승으로 연계될 수 있는 정보 노출 취약점[6](CVE-2009-0521)
   o 상기 취약점을 이용하여 공격자는 SWF 파일을 조작하여 피해자의 PC에 악성 스크립트를
      실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음

□ 해결방안

   o 다음 표와 같은 버전의 Adobe 제품 사용자는 취약하지 않은 버전으로 업데이트 할 것을 권고함
     ※ 일부 Adobe 제품은 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치 전 확인 필요

   o Adobe Flash 컨텐츠를 사용하는 웹서버 관리자는 아래와 같이 웹페이지를 수정하여
      이용자들이 최신버전 Adobe Flash Player를 설치하도록 ActiveX 버전 수정 필요

< object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#
version=10,0,22,87" width="921" height="109" >

   o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을
     준수해야 함
      - 신뢰되지 않은 웹사이트의 플래시 파일 다운로드 주의
      - 의심되는 이메일에 포함된 플래시 파일 링크를 방문하지 않음
      - 개인방화벽과 백신제품 사용 등

□ 용어 정리

   o 클릭재킹 : 사용자가 웹 페이지를 클릭 할 때 자신도 모르게 의도하지 않은 기능을 실행
      하여 공격자가 컴퓨터에 대한 제어권 혹은 중요 정보를 획득하는 취약점[12]
   o Adobe Flash CS3/CS4 Professional : Adobe Flash 애니메이션 제작을 위한 도구[13]
   o Adobe AIR(Adobe Integrated Runtime) : 이미 입증된 웹 기술을 브라우저 외부 데스크톱
      에서 실행될 수 있도록 도와주는 프로그램 제작 도구[14]
   o Adobe Flex : Adobe Flash Player 또는 Adobe AIR에서 사용할 인터넷 어플리케이션
      개발 도구[15]

□ 기타 문의사항

   o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118

□ 참고사이트

   [1] http://www.adobe.com/support/security/bulletins/apsb09-01.html
   [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0520
   [3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0519
   [4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0114
   [5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0522
   [6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0521
   [7] http://www.adobe.com/go/getflash
   [8] http://www.adobe.com/products/players/fpsh_distribution1.html
   [9] http://get.adobe.com/kr/air/
   [10] http://www.adobe.com/support/flashplayer/downloads.html#fp10
   [11] http://www.adobe.com/support/flashplayer/downloads.html#fp9
   [12] http://en.wikipedia.org/wiki/Clickjacking
   [13] http://www.adobe.com/kr/products/flash/
   [14] http://www.adobe.com/products/air/
   [15] http://www.adobeflex.co.kr/aboutflex/flex.html

출처 : http://www.krcert.net/secureNoticeView.do?seq=-1&num=316

우야꼬의 “Flash CS4로 만드는 Adobe AIR 1.5″ 책 저자인 우야꼬 님이 Stratus에 대한 번역을 해주셨네요.

번역글 : http://wooyaggo.tistory.com/search/stratus

Stratus는 Flash Player간 RTMFP(Real-Time Media Flow Protocal)을 이용해 Peer-to-Peer 통신을 가능하게 해주는 신기술입니다. 최소한의 서버 통신을 이용해 Flash Player간에 직접적 통신이 가능하도록 하여 서버부하를 줄여줄 수 있다는데 큰 매력을 느끼게 합니다. TCP가 아닌 UDP 기반으로 통신하기 때문에 훨씬 속도가 빠르겠군요.

이제 Flash Player 간 인터넷전화, 메신저, 화상채팅등이 구현이 되겠군요.
지속적으로 관심을 가지고 지켜봐야할 기술임에 틀림없겠습니다.

• Adobe Labs의 stratus 공개 홈페이지
• Stratus 개발을 위한 개발키 발급
• Stratus Sample Application - 2개 창을 띄워서 테스트
• Stratus service for developing end-to-end applications using RTMFP in Flash Player

POST방식으로 MultiPart 컨텐츠 타입으로 지정하여 데이타를 서버에 올리는 경우가 종종 있다.
가령, 이미지를 BitmapData로 캡쳐해서 ByteArray형태로 만든다음 서버에 전송하기 위해서는 URLLoader를 이용해 URLRequest의 contentType을 "multipart/form-data;"으로 지정해서 전송할 수 있다. 이와 관련되서는 예전에
"[Flex/AIR]BitmapData를 PNG나 JPG로 변환하여 ByteArray로 서버에 전송하는 방법" 제목으로 글을 올린적 있으니 참고바란다.

하지만 Flash Player 10부터 이러한 과정에서 보안이슈에 걸린다. 아래는 Flash Player 10 기준 ActionScript 3.0 메뉴얼에서 URLLoader의 load()에 설명되어 있는 글이다.  

Flash Player 10 이상에서는 multipart Content-Type(예: "multipart/form-data")을 사용하고 POST 본문 내 "content-disposition" 헤더에 "filename" 매개 변수를 지정하여 업로드를 처리하는 경우 POST 작업이 업로드에 적용되는 보안 규칙의 영향을 받을 수 있습니다.

• POST 작업은 마우스 클릭이나 키 누르기 같은 사용자 동작에 대한 응답으로 수행됩니다.
• POST 작업이 크로스 도메인인 경우, 즉 POST 대상이 POST 요청을 보내는 SWF 파일과 같은 서버에 없는 경우 대상 서버는 크로스 도메인 액세스를 허용하는 URL 정책 파일을 제공해야 합니다.
  

또한 multipart Content-Type의 경우 구문이 RFC2046 표준에 따라 유효해야 합니다. 구문이 유효하지 않은 경우 POST 작업은 업로드에 적용되는 보안 규칙의 영향을 받을 수 있습니다.

마우스 클릭이나 키 누르기 같은 사용자 동작에 대한 응답이 있은 직후에 하지 않고 이 기능을 사용하게 되면 "SecurityError: Error #2176 Certain actions, such as those that display a pop-up window, may only be invoked upon user interaction, for example by a mouse click or button press." 에러가 발생한다. 이 메시지는 자바스크립트(Flash가 아닌 외부)에서 Flash 컨텐츠의 FileReference browse() 메소드를 같은 이유의 보안 문제로 호출할 수 없을때와 동일하다. 이와 관련되어서는 다음 글을 참고한다.

[Flash Player 10]FileReference의 변경된 보안정책과 새롭게 추가된 기능에 대한 나의 생각

아무튼, Flash Player 10 으로 업그레이드 되면서 보안문제때문에 걸리는게 한두개가 아니다. 이와 관련되서 명확히 이해할 수 있으면 좋겠다.

글쓴이 : 지돌스타(http://blog.jidolstar.com/)