번호 | 제목 | 등록일 | |
---|---|---|---|
174 | Adobe Flash Player 및 AIR 다중 취약점 보안업데이트 권고 - 2010-06-17 | ||
2010-06-17 | |||
□ 개요 o Adobe社는 Adobe Flash Player 및 Adobe AIR에 영향을 주는 다수의 취약점을 해결한 보안 업데이트에 대한 공지를 발표[1] o 공격자는 해당 취약점을 악용하여 영향 받는 소프트웨어를 비정상적으로 종료시키거나, 임의의 명령을 실행하여 시스템에 대한 권한 획득할 수 있음 o 낮은 버전의 Adobe Flash Player/Adobe Air 사용으로 악성코드 감염 등의 사고가 발생할 수 있으므로 사용자의 주의 및 최신버전 설치 권고 ※ 본 보안업데이트는 지난 6월 5일“Adobe Flash Player/Acrobat/Reader 신규 취약점 주의” 제목으로 보안공지한 취약점 가운데 Flash Player에 대한 보안업데이트임 □ 설명 o Adobe社는 Adobe Flash Player 및 AIR의 취약점 32개에 대한 보안 업데이트를 발표함[1] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-1297)[2] - 임의코드실행으로 연계 가능한 메모리 고갈현상 취약점(CVE-2009-3793)[3] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2160)[4] - 임의코드실행으로 연계 가능한 인덱싱생성 취약점(CVE-2010-2161)[5] - 임의코드실행으로 연계 가능한 힙 손상 취약점(CVE-2010-2162)[6] - 임의코드실행으로 연계 가능한 다중 손상 취약점(CVE-2010-2163)[7] - 임의코드실행으로 연계 가능한 다중 취약점(CVE-2010-2164)[8] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2165)[9] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2166)[10] - 임의코드실행으로 연계 가능한 다중 힙 오버플로우 취약점(CVE-2010-2167)[11] - 임의코드실행으로 연계 가능한 포인터 메모리 손상 취약점(CVE-2010-2169)[12] - 임의코드실행으로 연계 가능한 정수 오버플로우 취약점(CVE-2010-2170)[13] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2171)[14] - 유닉스 플랫폼에서의 서비스 거부공격 취약점(CVE-2010-2172)[15] - 임의코드실행으로 연계 가능한 잘못된 포인터 취약점(CVE-2010-2173)[16] - 임의코드실행으로 연계 가능한 잘못된 포인터 취약점(CVE-2010-2174)[17] - 임의코드실행으로 연계 가능한 메모리 손상 취약점을 해결(CVE-2010-2175)[18] - 임의코드실행으로 연계 가능한 메모리 손상 취약점을 해결(CVE-2010-2176)[19] - 임의코드실행으로 연계 가능한 메모리 손상 취약점을 해결(CVE-2010-2177)[20] - 임의코드실행으로 연계 가능한 메모리 손상 취약점을 해결(CVE-2010-2178)[21] - 임의코드실행으로 연계 가능한 인터넷주소 파싱 취약점(CVE-2010-2179)[22] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2180)[23] - 임의코드실행으로 연계 가능한 정수 오버플로우 취약점(CVE-2010-2181)[24] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2182)[25] - 임의코드실행으로 연계 가능한 정수 오버플로우 취약점(CVE-2010-2183)[26] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2184)[27] - 임의코드실행으로 연계 가능한 버퍼 오버플로우 취약점(CVE-2010-2185)[28] - 임의코드실행으로 연계 가능한 서비스 거부 취약점(CVE-2010-2186)[29] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2187)[30] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2188)[31] - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2189)[32] - 서비스 거부 취약점(CVE-2008-4546)[33] □ 영향 받는 시스템 o 영향 받는 소프트웨어 - Adobe Flash Player 10.0.45.2 버전과 이전 버전 - Adobe AIR 1.5.3.9130 버전과 이전 버전 □ 해결 방안 o Adobe Flash Player 10.0.45.2와 이전 버전사용자 - Adobe Download Center(http://get.adobe.com/flashplayer/)에 방문하여 10.1.53.64 버전을 설치하거나 자동 업데이트를 이용하여 업그레이드 - 윈도우 98, 윈도우 ME, MAC OSX 10.1-10.3, Red Hat Enterprise Linux 3, 4 이용자의 경우 Adobe Flash Player 10 및 이후 버전들이 정상적으로 동작하지 않을 수 있음으로 다음 사이트에 접속하여 Flash Player 9.0.277.0을 다운로드 후 설치 * http://kb2.adobe.com/cps/406/kb406791.html o Adobe AIR 1.5.3.9130 버전과 이전 버전 사용자 - Adobe AIR Download Center(http://get.adobe.com/kr/air/)에 방문하여 2.0.2.12610으로 업데이트 □ 용어 설명 o Adobe Flash Player: Adobe Flash나 Adobe Flex 등에서 생성한 SWF 파일을 구동하는 프로그램 o SWF(Shockwave Flash): Macromedia社가 개발한 멀티미디어 및 벡터 그래픽 파일 형식으로 주로 웹에서 사용됨 o Adobe AIR(Adobe Integrated Runtime): 이미 입증된 웹 기술을 브라우저 외부 데스크톱에서 실행될 수 있도록 도와주는 프로그램 제작 도구 □ 참조 사이트 [1] http://www.adobe.com/support/security/bulletins/apsb10-14.html [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297 [3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3793 [4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2160 [5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2161 [6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2162 [7] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2163 [8] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2164 [9] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2165 [10] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2166 [11] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2167 [12] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2169 [13] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2170 [14] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2171 [15] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2172 [16] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2173 [17] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2174 [18] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2175 [19] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2176 [20] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2177 [21] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2178 [22] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2179 [23] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2180 [24] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2181 [25] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2182 [26] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2183 [27] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2184 [28] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2185 [29] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2186 [30] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2187 [31] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2188 [32] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2189 [33] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4546 |