|
제 목 |
Adobe Flash Player 다중 취약점 업데이트 권고 |
|
위험 Level |
FATAL(Severity-1) |
침해사고 Severity 1,2를 유발할 수 있는 취약점, 웜, 바이러스 경보 등의 보안정보
- 보안권고 사항으로 해당 시스템에 반드시 반영 |
|
|
CRITICAL(Severity-2) |
침해사고 Severity 2,3을 유발할 수 있는 취약점, 웜, 바이러스 경보 등의 보안정보
- 보안권고 사항으로 해당 시스템에 반영 |
|
|
MINOR(Severity-3) |
침해사고 Severity 4를 유발할 수 있는 취약점, 웜, 바이러스 경보 등의 보안정보
- 보안권고 사항을 참고하여 해당 시스템에 필요시 반영 |
|
|
WARNING(Severity-4) |
침해사고 Severity에는 영향을 미치지 않으나 보안수준 향상을 위해 필요한 바이러스, 웜 등의 보안정보
- 보안권고 사항을 참고하여 보완 강화 |
|
|
상 세 내 용 |
|
개 요 |
□ 개요
o Adobe社는 Adobe Flash Player에 영향을 주는 다중의 취약점을 해결한 보안
업데이트를 발표[1]
o 낮은 버전의 Adobe Flash Player 사용으로 악성코드 감염 등의 사고가 발생할 수
있으므로 사용자의 주의 및 최신버전 업데이트 권고 |
|
영 향 |
|
|
증 상 |
|
|
영향 시스템 |
□ 해당 시스템
o 영향 받는 소프트웨어
- 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player
10.3.183.7 및 이전 버전
- 안드로이드 환경에서 동작하는 Adobe Flash Player 10.3.186.6 및 이전 버전 |
|
관련 취약점 |
□ 설명
o Adobe社는 Adobe Flash Player의 6개 취약점을 해결한 보안 업데이트를 발표[1]
- XSS 발생 취약점(CVE-2011-2444)
※ 해당 취약점의 경우 이메일, 조작된 웹사이트 링크 등을 이용한 실제 악용사례가
발생하고 있어, 사용자의 주의를 요함
- AVM 스택 오버플로우로 인한 원격코드실행 취약점(CVE-2011-2426)
- AVM 스택 오버플로우로 인한 서비스 거부 및 원격코드실행 취약점(CVE-2011-2427)
- 로직에러로 인한 브라우저 크래쉬 및 코드실행이 될 수 있는 취약점(CVE-2011-2428)
- Flash Player 보안컨트롤 기능 우회를 통한 정보요출 취약점(CVE-2011-2429)
- 스트라밍 미디어 로직 에러로 인해 코드실행으로 이어질 수 있는 취약점(CVE-2011-2430) |
|
권고사항 |
□ 권고사항
o 윈도우, 매킨토시, 리눅스, 솔라리스 환경의 Adobe Flash Player 10.3.183.7 및
이전버전 사용자
- Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/)에
방문하여 Adobe Flash Player 10.3.183.10버전을 설치하거나 자동 업데이트를 이용하여
업그레이드
o 안드로이드 환경에서 동작하는 Adobe Flash Player 10.3.186.6 및 이전 버전 사용자
- Adobe Flash Player가 설치된 안드로이드 폰에서 안드로이드 마켓 접속 → ‘다운로드’ 선택
→ Adobe Flash Player 안드로이드 버전 10.3.186.7으로 업데이트 |
|
참고 Site |
[참고사이트]
[1] http://www.adobe.com/support/security/bulletins/apsb11-26.html1 |
|
기 타 |
□ 용어 정리
o Adobe Flash Player : Adobe社에서 개발한 소프트웨어로 웹상에서 멀티미디어 컨텐츠 및
응용 프로그램을 볼 수 있는 프로그램
o XSS (Cross Site Scripting) : 웹페이지 등에 클라이언트 사이드 스크립트를 삽입하여 다른
사용자가 이를 실행하게끔 허용하는 취약점
o AVM(ActionScript Virtual Machine) : Flash Palyer에서 자바스크립트 프로그램을 실행
시키는 기능 |