개요
- Adobe社는 Flash Player, Adobe Reader/Acrobat 및 ColdFusion에서 발생하는 취약점을 해결한 보안
업데이트를 발표[1][2][3] - 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고
설명
- Adobe Flash Player의 6개 취약점에 대한 보안 업데이트를 발표[1]
· 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-0587, CVE-2014-9164)
· 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8443)
· 임의코드 실행으로 이어질 수 있는 스택오버플로우 취약점(CVE-2014-9163)
· 정보 노출 취약점(CVE-2014-9162)
· 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-0580) - Adobe Reader/Acrobat의 20개 취약점에 대한 보안 업데이트를 발표[2]
· 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8454, CVE-2014-8455, CVE-
2014-9165)
· 임의코드 실행으로 이어질 수 있는 힙오버플로우 취약점(CVE-2014-8457, CVE-2014-8460,
CVE-2014-9159)
· 임의코드 실행으로 이어질 수 있는 정수오버플로우 취약점(CVE-2014-8449)
· 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-8445, CVE-2014-8446, CVE-2014-
8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158)
· 임의의 파일을 생성할 수 있는 경쟁 상태(Race condition) 취약점(CVE-2014-9150)
· 자바스크립트 API의 부적절한 구현을 이용한 정보 노출 취약점(CVE-2014-8448, CVE-2014-8451)
· XML 외부 개체 참조를 이용한 정보 노출 취약점(CVE-2014-8452)
· 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-8453) - Adobe ColdFusion의 1개 취약점에 대한 보안 업데이트를 발표[3]
· 서비스 거부 취약점(CVE-2014-9166)
영향 받는 소프트웨어
- Adobe Flash Player
- Adobe Reader/Acrobat
- Adobe ColdFusion
해결 방안
- Adobe Flash Player 사용자
- 윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime 사용자는 16.0.0.235버전으로 업데이트 적용
· Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을
설치하거나, 자동 업데이트를 이용하여 업그레이드
- Adobe Flash Player Extended Support Release 사용자는 13.0.0.259 버전으로 업데이트 적용
- 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.245 버전으로 업데이트 적용
- 구글 크롬 및 윈도우 8.x 버전의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신
업데이트가 적용 - Adobe Reader 사용자
- [메뉴]→[도움말]→[업데이트확인]을 이용하여 업그레이드하거나 아래의 사이트에 방문하여 최신버전 설치
· 윈도우 환경의 Adobe Reader 사용자
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
· 맥 환경의 Adobe Reader 사용자
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh - Adobe Acrobat 사용자
- [메뉴]→[도움말]→[업데이트확인]을 이용하여 업그레이드하거나 아래의 사이트에 방문하여 최신버전 설치
· 윈도우 환경의 Adobe Reader 사용자
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
· 맥 환경의 Adobe Reader 사용자
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh - Adobe ColdFusion 사용자
- 다음과 같은 Adobe ColdFusion Help 문서를 참조하여 보안업데이트 적용
· ColdFusion 11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-3.html
· ColdFusion 10: http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-15.html
용어 정리
- Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를
계속 참조(사용)하여 발생하는 취약점 - 정수 오버플로우 : 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점
- 동일 출처 정책(same origin policy) : 특정 도메인에서 로드된 자바스크립트는 다른 도메인의 페이지 및
데이터에 접근할 수 없게 하는 보호 매커니즘
기타 문의사항
- 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] http://helpx.adobe.com/security/products/flash-player/apsb14-27.html
[2] http://helpx.adobe.com/security/products/reader/apsb14-28.html
[3] http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html
728x90
댓글