'안드로이드'에 해당되는 글 46건

  1. 2013.09.14 Adobe 제품군 신규 취약점 보안업데이트
  2. 2013.08.26 안드로이드 마스터키 취약점 보안 업데이트
  3. 2013.03.11 모바일 메신저 카카오톡 취약점 보안 업데이트
2013.09.14 11:26

Adobe 제품군 신규 취약점 보안업데이트

□ 개요
   o Adobe社는 Adobe Flash Player, Reader/Acrobat, Shockwave Player에 영향을 주는 취약점을 해결한 
      보안 업데이트를 발표[1][2][3]
   o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

 □ 설명
   o Adobe Flash Player에서 발생하는 4개의 취약점을 해결하는 보안 업데이트를 발표[1]
     - 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2013-3361, CVE-2013-3362, CVE-2013-3363,
       CVE-2013-5324)

   o Adobe Reader/Acrobat에서 발생하는 8개의 취약점을 해결하는 보안 업데이트를 발표[2]
     - 임의코드 실행으로 이어질 수 있는 스택 오버플로우 취약점 (CVE-2013-3351)
     - 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2013-3352, CVE-2013-3354, CVE-2013-3355)
     - 임의코드 실행으로 이어질 수 있는 버퍼 오버플로우 취약점 (CVE-2013-3353, CVE-2013-3356)
     - 임의코드 실행으로 이어질 수 있는 정수형 오버플로우 취약점 (CVE-2013-3357, CVE-2013-3358)

   o Adobe Shockwave Player에서 발생하는 2개의 취약점을 해결하는 보안 업데이트를 발표[3]
     - 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2013-3359, CVE-2013-3360)

 

□ 해당 시스템
   o 영향 받는 소프트웨어

소프트웨어 명

동작환경

영향받는 버전

Adobe Flash Player

윈도우, Mac

11.8.800.94 및 이전버전

리눅스

11.2.202.297 및 이전버전

안드로이드 4.x

11.1.115.69 및 이전버전

안드로이드 3.x, 2.x

11.1.111.64 및 이전버전

Adobe AIR

윈도우안드로이드

3.8.0.870 및 이전버전

Mac

3.8.0.910 및 이전버전

Adobe Reader/Acrobat XI

윈도우, Mac

11.0.03 및 이전버전

Adobe Reader/Acrobat X

윈도우, Mac

10.1.7 및 이전버전

Adobe Shockwave Player

윈도우, Mac

12.0.3.133 및 이전버전

 

□ 해결방안
   o 윈도우, Mac, 리눅스 환경의 Adobe Flash Player 사용자
     - Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/)에 방문하여 
       Adobe Flash Player 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드

   o 윈도우8 버전에서 동작하는 인터넷익스플로러10 버전 사용자
     - 윈도우 자동업데이트 적용

   o 안드로이드 환경의 Adobe Flash Player 사용자
     - Adobe Flash Player가 설치된 안드로이드 폰에서 ‘구글 플레이스토어’ 접속 →메뉴 선택 → 내애플리케이션 선택
       → Adobe Flash Player 안드로이드 최신 버전으로 업데이트 하거나 자동업데이트를 허용하여 업그레이드

   o 구글 크롬브라우저 사용자
     - 크롬브라우저 자동업데이트 적용

   o 윈도우, Mac 환경의 Adobe AIR 사용자
     - Adobe AIR Download Center(http://get.adobe.com/kr/air/)에 방문하여 Adobe AIR 최신 버전을 설치하거나, 
       자동 업데이트를 이용하여 업그레이드

   o Adobe AIR SDK 사용자
     - (http://www.adobe.com/devnet/air/air-sdk-download.html)에 방문하여 Adobe AIR SDK 최신 버전을 설치

   o 안드로이드 환경의 Adobe AIR 사용자
     - Adobe AIR가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속 → 메뉴 선택 → 내 애플리케이션 선택 
        → Adobe AIR 안드로이드 최신 버전으로 업데이트 하거나 자동업데이트를 허용하여 업그레이드

   o Adobe Reader 사용자
     - Adobe Download Center(http://get.adobe.com/kr/reader/otherversions/)를 방문하여 최신 버전을 
       설치하거나 [메뉴]→[도움말]→[업데이트확인]을 이용하여 업그레이드

   o Adobe Acrobat 사용자
     - 아래의 Adobe Download Center를 방문하여 최신 버전을 설치하거나 [메뉴]→[도움말]→[업데이트확인]을 
        이용하여 업그레이드

윈도우 환경에서 동작하는 Adobe Acrobat Standard/Pro 사용자

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

윈도우 환경에서 동작하는 Adobe Acrobat Pro Extended 사용자

http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows

윈도우 환경에서 동작하는 Adobe Acrobat 3D 사용자

http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows

Mac 환경에서 동작하는 Adobe Acrobat Pro 사용자

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

 

□ 용어 정리
   o Adobe Flash Player : Adobe社에서 개발한 소프트웨어로 웹상에서 멀티미디어 컨텐츠 및 응용 프로그램을 
      볼 수 있는 프로그램
   o Adobe AIR(Adobe Integrated Runtime): HTML,JavaScript,Adobe Flash 및 ActionScript를 사용하여 브라우저의
       제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구
   o PDF(Portable Document Format) : Adobe社가 개발한 다양한 플랫폼을 지원하는 전자문서 파일 형식
   o Adobe Acrobat : PDF 문서 편집/제작을 지원하는 상용 프로그램
   o Adobe Reader : PDF 문서의 편집 기능은 없이 보기/인쇄만 할 수 있는 무료 프로그램
   o Adobe Shockwave Player : 웹브라우저에 플러그인 형태로 설치되는 멀티미디어 재생을 위한 플레이어

 

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]
[1] http://www.adobe.com/support/security/bulletins/apsb13-21.html
[2] http://www.adobe.com/support/security/bulletins/apsb13-22.html
[3] http://www.adobe.com/support/security/bulletins/apsb13-23.html


Trackback 0 Comment 0
2013.08.26 19:50

안드로이드 마스터키 취약점 보안 업데이트

개요

  • 삼성, LG 등 스마트폰에 탑재되는 안드로이드에서 마스터키(CVE-2013-4787) 취약점이 발견됨
  • 공격자는 안드로이드 설치 파일(apk)을 변조하여 디지털 서명을 무효화하지 않고도 악성코드를 정상적인 안드로이드 앱에 삽입하여 실행 가능
  • 낮은 안드로이드 버전의 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업그레이드 권고

 

해당 시스템

  • 영향 받는 소프트웨어
    • 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전

 

해결방안

  • 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전 사용자
    • 제조사별 펌웨어 업그레이드 프로그램을 통해 최신 펌웨어로 업그레이드

                    ※ 삼성전자 펌웨어 업그레이드 프로그램(Samsung Kies) 다운로드 경로 : 
                         http://www.samsung.com/sec/support/pcApplication/KIES

 

취약점이 패치된 모델

Galaxy S4, Galaxy S4 LTE-A, Galaxy Mega (취약점 기 패치되어 출시됨)

Galaxy S2, Galaxy S2 LTE, Galaxy S2 HD

Galaxy S3, Galaxy S3 LTE

Galaxy Note, Galaxy Note 2, Galaxy Note 8, Galaxy Note 10.1

Galaxy Tab 7.7, Galaxy Tab 8.9

Galaxy R, Galaxy POP, Galaxy Grand

 

                    ※ LG전자 펌웨어 업그레이드 프로그램(LG Mobile Support Tool) 다운로드 경로 : 
                         http://www.lgmobile.co.kr/lgmobile/front/download/retrieveDownloadMain.dev

 

   LG업그레이드  

 

취약점이 패치된 모델

LG G2

LG Optimus G/Gpro

LG Optimus Vu/Vu2

LG Optimus LTE2

 

                   ※ 팬텍 펌웨어 업그레이드 경로 : 
                         http://www.vegaservice.co.kr/down/self/main.sky

 

팬텍업그레이드  

 

취약점이 패치된 모델

VEGA Racer 2 (IM-A830S, IM-A830K, IM-A830L)

VEGA S5 (IM-A840S)

VEGA R3 (IM-A850S, IM-A850K, IM-A850L)

VEGA N6 (IM-A860S, IM-A860K)

VEGA IRON (IM-A870S, IM-A870K, IM-A870L)

VEGA LTE A (IM-A880S)

 


권고사항

  • 확인되지 않는 문자에 포함된 링크는 절대 클릭 말고 즉시 삭제
  • ‘스마트폰 이용자 10대 안전수칙’에 따라 스마트폰을 사용
    • 스마트폰 이용자 10대 안전수칙

                     1. 의심스러운 애플리케이션 다운로드하지 않기
                     2. 신뢰할 수 없는 사이트 방문하지 않기
                     3. 발신인이 불명확하거나 의심스러운 메세지 및 메일 삭제하기
                     4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
                     5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기
                     6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기
                     7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
                     8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
                     9. 스마트폰 플랫폼의 구조를 임의로 변경하기 않기
                     10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기

 

문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]
[1] http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4787


Trackback 0 Comment 0
2013.03.11 20:20

모바일 메신저 카카오톡 취약점 보안 업데이트

□ 개요

  • 카카오社의 무료 모바일 메신저 앱인 카카오톡의 플러스친구 기능에서 세션정보가 노출되는 취약점이 발견됨
  • 낮은 버전의 사용자는 세션정보 탈취로 인한 계정도용 피해를 입을 수 있으므로 해결방안에 따라 보안
    업데이트 권고
    ※ 낮은 버전 사용자의 경우, 해당 취약점이 발생하는“플러스 친구”사용이 제한됨

 

□ 설명

  • 공격자는 다음과 같은 제한된 상황에서 사용자의 인증값을 탈취할 수 있음
    - 공격자와 사용자가 동일 WiFi네트워크에 접속해 있는 상태에서, 사용자가 “플러스 친구” 기능을 
      사용할 경우

 

□ 해당 시스템

  • 영향 받는 소프트웨어
    - 안드로이드 환경에서 동작하는 카카오톡 3.6.7 및 이전버전
    - iOS 환경에서 동작하는 카카오톡 3.5.2 및 이전버전

 

□ 해결방안

  • 안드로이드 환경 사용자
    - ‘구글 플레이 스토어’ 접속 → 메뉴 선택 → 내 애플리케이션 선택 → 카카오톡 최신 버전(3.6.8 이상)으로 
       업데이트 하거나 자동업데이트를 허용하여 업그레이드
  • iOS 환경 사용자
    - ‘앱 스토어’ 접속 → 업데이트 선택 → 카카오톡 최신 버전(3.5.5 이상)으로 업데이트

 

□ 용어 정리

  • 세션정보 : 단말기와 서버간의 연결유지정보

 

□ 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

□ 기타

  • 본 취약점은 Krcert 홈페이지를 통해 남창현(hacktune) 님께서 제공해주셨습니다.


Trackback 0 Comment 0