개요 Adobe社는 Flash Player, Adobe AIR 등에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1] 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고
설명
- 파일 검증 부재 취약점(CVE-2015-0301)
- 키보드 입력 값 가로채기가 가능한 정보노출 취약점(CVE-2015-0302)
- 임의 코드 실행이 가능한 메모리 접근 가능 취약점(CVE-2015-0303, CVE-2015-0306)
- 임의 코드 실행이 가능한 힙 버퍼오버플로우 취약점(CVE-2015-0304, CVE-2015-0309)
- 임의 코드 실행이 가능한 Type Confusion 취약점(CVE-2015-0303, CVE-2015-0306)
- 메모리 주소 노출이 가능한 Out-of-bounds 읽기 가능 취약점(CVE-2015-0307)
- 임의 코드 실행이 가능한 User-after-free 취약점(CVE-2015-0308)
영향 받는 소프트웨어
Adobe Flash Player Adobe Flash Player Desktop Runtime(Windows, Mac, Linux) 16.0.0.235 및 이전버전 Adobe Flash Player Extended Support Release(Windows, Mac) 13.0.0.259 및 이전버전 Adobe Flash Player for Google Chrome(Windows, Mac, Linux) 16.0.0.235 및 이전버전 Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11(Windows 8.0, 8.1) 16.0.0.235 및 이전버전 Adobe Flash Player(Linux) 11.2.202.425 및 이전버전 Adobe AIR SDK(Windows, Mac, iOS, Android) 15.0.0.356 및 이전버전 Adobe AIR SDK and Compiler(Windows, Mac, iOS, Android) 15.0.0.356 및 이전버전 Adobe AIR for Android(Android) 15.0.0.356 및 이전버전
해결방안
Adobe Flash Player 사용자 Windows, Mac 환경의 Adobe Flash Player desktop runtime 사용자는 Adobe Flash Player16.0.0.257 버전으로 업데이트 적용 Adobe Flash Player Extended Support Release 사용자는 13.0.0.260 버전으로 업데이트 적용 Linux 환경의 Adobe Flash Player 사용자는 11.2.202.429 버전으로 업데이트 적용 Google Chrome 및 Windows 8.x의 Internet Explorer에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가 적용 Adobe AIR desktop runtime 사용자는 16.0.0.245 버전으로 업데이트 적용 Adobe AIR SDK 및 AIR SDK and Compiler 사용자는 16.0.0.272 버전으로 업데이트 적용 Android 환경의 Adobe AIR 사용자는 16.0.0.272 버전으로 업데이트 적용
용어정리
Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점 Type Confusion 취약점 : 객체의 타입(type)을 혼동하여 나는 오류 및 취약점 Adobe AIR(Adobe Integrated Runtime) : HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구
기타 문의사항
참고사이트
[1] http://helpx.adobe.com/security/products/flash-player/apsb15-01.html |