안녕하세요 이호스트데이터센터입니다.
최근 다양한 침해시도 및 사고가 빈번히 발생하고 있습니다.
해당 메일을 수신한 전산 담당자께서는 아래 내용 확인하시어 피해를 입는 사례가 없도록 관리하시기 바랍니다
□ 개요
o Adobe社는 Adobe Flash Player, Acrobat, Reader,
Experience Manager, Digital Edition에 영향을 주는 취약점을
해결한 보안 업데이트를 발표
o 낮은 버전의 사용자는 악성코드 감염 등에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트 권고
□ 설명
o Adobe Flash Player의 2개 취약점에 대한 보안 업데이트 발표 [1]
- 정보 노출로 이어질 수 있는 보안 기능 우회 취약점(CVE-2017-3085)
- 원격 코드 실행으로 이어질 수 있는 Type Confusion 취약점(CVE-2017-3106)
o Adobe Acrobat DC 및 Acrobat Reader의 67개 취약점에 대한 보안 업데이트 발표 [2]
- 데이터 무결성에 대한 검증 미흡으로 인해 발생하는 정보 노출 취약점(CVE-2017-3115)
- 정보 노출로 이어질 수 있는 메모리 손상 취약점(CVE-2017-3122,
CVE-2017-11209, CVE-2017-11210,
CVE-2017-11217, CVE-2017-11230, CVE-2017-11233, CVE-2017-11236, CVE-2017-11238,
CVE-2017-11239, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245,
CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11252, CVE-2017-11255,
CVE-2017-11258, CVE-2017-11265)
- 보안 기능 우회로 인해 발생하는 정보 노출 취약점(CVE-2017-3118)
- 정보 노출로 이어질 수 있는 Use-After-Free 취약점(CVE-2017-11232)
- 원격 코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2017-3117,
CVE-2017-3121, CVE-2017-11211,
CVE-2017-11220, CVE-2017-11241)
- 원격 코드 실행으로 이어질 수 있는 보안 기능 우회 취약점(CVE-2017-11229)
- 원격 코드 실행으로 이어질 수 있는 Type Confusion 취약점(CVE-2017-11221, CVE-2017-11257)
- 원격 코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2017-3113, CVE-2017-3120,
CVE-2017-11218, CVE-2017-11219, CVE-2017-11223, CVE-2017-11224, CVE-2017-11231,
CVE-2017-11235, CVE-2017-11254, CVE-2017-11256)
o Adobe
Experience Manager의 3개
취약점에 대한 보안 업데이트 발표 [3]
- 제품의 버전 정보가 노출되는 정보 노출 취약점(CVE-2017-3107)
- 파일 업로드 시 파일 확장자에 대한 필터링 미흡으로 인한 임의 코드 실행 취약점(CVE-2017-3108)
- 내부 정보가 제품의 결과가 출력되는 정보 노출 취약점(CVE-2017-3110)
o Adobe Digital Editions의 9개 취약점에 대한 보안 업데이트 발표 [4]
- 원격 코드 실행으로 이어질 수 있는 버퍼 오버플로우 취약점(CVE-2017-11274)
- 메모리 주소가 노출되는 메모리 손상 취약점(CVE-2017-3091,
CVE-2017-11275, CVE-2017-11276,
CVE-2017-11277, CVE-2017-11278, CVE-2017-11279, CVE-2017-11280)
- XXE 요청을 파싱하는 과정에서 발생하는 정보 노출 취약점(CVE-2017-11272)
□ 영향을 받는 제품
o Adobe Flash Player
|
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
|
Adobe Flash Player Desktop Runtime |
Windows, Mac, Linux |
26.0.0.137 및 이전 버전 |
|
Adobe Flash Player for Google Chrome |
Windows, Mac, Linux, Chrome OS |
26.0.0.137 및 이전 버전 |
|
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 |
Windows 10, 8.l1 |
26.0.0.137 및 이전 버전 |
o Adobe Acrobat 및 Reader
|
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
|
Acrobat DC (Continuous Track) |
Windows, Mac |
2017.009.20058 및 이전 버전 |
|
Acrobat Reader DC (Continuous Track) |
Windows, Mac |
2017.009.20058 및 이전 버전 |
|
Acrobat 2017 |
Windows, Mac |
2017.008.30051 및 이전 버전 |
|
Acrobat Reader 201 |
Windows, Mac |
2017.008.30051 및 이전 버전 |
|
Acrobat DC (Classic Track) |
Windows, Mac |
2015.006.30306 및 이전 버전 |
|
Acrobat Reader DC (Classic Track) |
Windows, Mac |
2015.006.30306 및 이전 버전 |
|
Acrobat XI |
Windows, Mac |
11.0.20 및 이전 버전 |
|
Reader XI |
Windows, Mac |
11.0.20 및 이전 버전 |
o Adobe Experience Manager
|
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
|
Adobe Experience Manager |
All |
6.3, 6.2, 6.1, 6.0 |
o Adobe Digital Editions
|
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
|
Adobe Digital Editions |
Windows, Mac, iOS, Android |
4.5.5 및 이전 버전 |
□ 해결 방안
o Adobe Flash Player 사용자
- 윈도우즈, 맥, 리눅스 환경의 Adobe Flash Player Desktop Runtime
사용자는 26.0.0.151 버전으로 업데이트 적용
※ Adobe
Flash Player Download Center(https://get.adobe.com/flashplayer/)에 방문하여 최신 버전을
설치하거나
자동 업데이트를 이용하여 업그레이드
- Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
- Windows 10 및
Windows 8.1에서 Microsoft Edge, Internet Explorer 11에 Adobe Flash Player를 설치한
사용자는
자동으로 최신 업데이트가 적용
o Adobe Acrobat 사용자
- Windows, Mac 환경의 Adobe Acrobat 사용자는 해당하는 소프트웨어에 따라 최신 버전으로 업데이트 적용
- Adobe Acrobat Reader Download Center(https://get.adobe.com/kr/reader/)에 방문하여 최신 버전을
설치하거나, 자동 업데이트를 이용하여 업그레이드
|
소프트웨어 명 |
최신 버전 |
|
Acrobat DC (Continuous Track) |
2017.012.20093 |
|
Acrobat Reader DC (Continuous Track) |
2017.012.20093 |
|
Acrobat 2017 |
2017.011.30059 |
|
Acrobat Reader 201 |
2017.011.30059 |
|
Acrobat DC (Classic Track) |
2015.006.30352 |
|
Acrobat Reader DC (Classic Track) |
2015.006.30352 |
|
Acrobat XI |
11.0.21 |
|
Reader XI |
11.0.21 |
o Adobe Experience Manager 사용자
- Adobe Experience Manager 사용자는
아래 링크를 참고하여 업데이트 적용 [3]
o Adobe Digital Editions 사용자
- 윈도우즈, 맥, iOS, 안드로이드환경의 Adobe Digital Editions 사용자는 4.5.6 버전으로 업데이트 적용
※ 윈도우즈, 맥
다운로드 : https://www.adobe.com/solutions/ebook/digital-editions/download.html
※ iOS 다운로드 : https://itunes.apple.com/us/app/adobe-digital-editions/id952977781?mt=8
※ 안드로이드 다운로드 : https://play.google.com/store/apps/details?id=com.adobe.digitaleditions
□ 용어 정리
o Type Confusion 취약점
: 객체의 인스턴스가 타입을 혼동하여 나는 오류
o Use-After-Free 취약점
: 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속
참조(사용)하여 발생하는 취약점
o XXE(XML External Entity) : :XML 문서에서
동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티티를 사용하는 것
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb17-23.html
[2] https://helpx.adobe.com/security/products/acrobat/apsb17-24.html
[3] https://helpx.adobe.com/security/products/experience-manager/apsb17-26.html
[4] https://helpx.adobe.com/security/products/Digital-Editions/apsb17-27.html
서비스문의 | |
◎ 영업1팀 : 070-7600-7311 (3095) | ◎ 메일주소 : request@ehostidc.co.kr |
◎ 스카이프 : ehostIDC Hosting Manager | |
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| [EhostIDC] MS 8월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2017.08.25 |
|---|---|
| [EhostIDC] 원격관리솔루션 보안업데이트 권고 (0) | 2017.08.25 |
| [EhostIDC] NETSARANG 제품군 보안 업데이트 권고 (0) | 2017.08.10 |
| [EhostIDC] gSOAP 라이브러리 원격 코드 실행 취약점 보안 업데이트 권고 (0) | 2017.07.27 |
| [EhostIDC] Apache Struts2 원격 코드 실행 취약점 업데이트 권고 (0) | 2017.07.18 |