□ 개요
o Adobe Flash Player에서 입력 검증 오류, 버퍼오버플로, 클릭재킹 등의 다수 취약점이
발견되어 보안 업데이트가 발표됨[1]
o 낮은 버전의 Adobe Flash Player 사용으로 악성코드 감염 등의 사고가 발생할 수 있음으로
사용자의 주의 및 최신버전 설치가 권고됨
□ 해당프로그램
o Adobe Flash Player 10.0.12.36 이하 버전이 설치된 Linux 제외 모든 운영체제
o Adobe Flash Player 10.0.12.36 이하 버전 - 내부 네트워크 배포용
o Adobe Flash Player 10.0.15.3 이하 버전이 설치된 Linux 운영체제
o Adobe AIR 1.5 버전
o Adobe Flash CS4 Professional에서 사용되는 Adobe Flash Player 10.0.22.87 이전버전
o Adobe Flash CS3 Professional에서 사용되는 Adobe Flash Player / Debug Player 9.0.159.0
이전버전
o Adobe Flex 3에서 사용되는 Adobe Flash Debug Player 10.0.22.87 이전버전
□ 설명
o Adobe Flash Player 취약점에 대한 보안 업데이트(총 5건)가 아래와 같이 발표됨
① Adobe Flash Player가 개체를 삭제하는 과정에서 개체에 할당된 메모리를 적절히 해제하지
않아 발생하는 원격코드 실행 가능한 버퍼오버플로 취약점[2](CVE-2009-0520)
② Adobe Flash Player가 부적절하게 입력 검증하는 과정에서 발생하는 서비스 거부 취약점[3]
(CVE-2009-0519)
③ Adobe Flash Player의 설정 관리자로 인한 클릭재킹 취약점[4](CVE-2009-0114)
④ Windows 운영체제에서 마우스 포인터를 출력할 때 발생하는 클릭재킹 취약점[5]
(CVE-2009-0522)
⑤ Linux 운영체제에서 권한 상승으로 연계될 수 있는 정보 노출 취약점[6](CVE-2009-0521)
o 상기 취약점을 이용하여 공격자는 SWF 파일을 조작하여 피해자의 PC에 악성 스크립트를
실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음
□ 해결방안
o 다음 표와 같은 버전의 Adobe 제품 사용자는 취약하지 않은 버전으로 업데이트 할 것을 권고함
※ 일부 Adobe 제품은 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치 전 확인 필요
o Adobe Flash 컨텐츠를 사용하는 웹서버 관리자는 아래와 같이 웹페이지를 수정하여
이용자들이 최신버전 Adobe Flash Player를 설치하도록 ActiveX 버전 수정 필요
< object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#
version=10,0,22,87" width="921" height="109" >
o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을
준수해야 함
- 신뢰되지 않은 웹사이트의 플래시 파일 다운로드 주의
- 의심되는 이메일에 포함된 플래시 파일 링크를 방문하지 않음
- 개인방화벽과 백신제품 사용 등
□ 용어 정리
o 클릭재킹 : 사용자가 웹 페이지를 클릭 할 때 자신도 모르게 의도하지 않은 기능을 실행
하여 공격자가 컴퓨터에 대한 제어권 혹은 중요 정보를 획득하는 취약점[12]
o Adobe Flash CS3/CS4 Professional : Adobe Flash 애니메이션 제작을 위한 도구[13]
o Adobe AIR(Adobe Integrated Runtime) : 이미 입증된 웹 기술을 브라우저 외부 데스크톱
에서 실행될 수 있도록 도와주는 프로그램 제작 도구[14]
o Adobe Flex : Adobe Flash Player 또는 Adobe AIR에서 사용할 인터넷 어플리케이션
개발 도구[15]
□ 기타 문의사항
o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118
□ 참고사이트
[1] http://www.adobe.com/support/security/bulletins/apsb09-01.html
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0520
[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0519
[4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0114
[5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0522
[6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0521
[7] http://www.adobe.com/go/getflash
[8] http://www.adobe.com/products/players/fpsh_distribution1.html
[9] http://get.adobe.com/kr/air/
[10] http://www.adobe.com/support/flashplayer/downloads.html#fp10
[11] http://www.adobe.com/support/flashplayer/downloads.html#fp9
[12] http://en.wikipedia.org/wiki/Clickjacking
[13] http://www.adobe.com/kr/products/flash/
[14] http://www.adobe.com/products/air/
[15] http://www.adobeflex.co.kr/aboutflex/flex.html
출처 : http://www.krcert.net/secureNoticeView.do?seq=-1&num=316
'비공개 > Adobe Flash Player' 카테고리의 다른 글
| Adobe Flash Player 10.1 beta 3 배포 (0) | 2010.02.25 |
|---|---|
| 구글 크롬의 플래시 재생 문제 해결 (3) | 2010.02.02 |
| Adobe Stratus 2.0 - 더욱 향상된 Flash Player로 P2P 구현 (15) | 2010.01.25 |
| Flash Player에서 P2P를? Adobe Stratus에 대해 (1) | 2009.05.15 |
| Flash Player에서 Peer-to-Peer 통신을 가능하게 한 Adobe Stratus (0) | 2009.05.13 |