'Type Confusion'에 해당되는 글 3건

  1. 2015.12.10 Adobe Flash Player 신규 취약점 보안 업데이트
  2. 2015.04.20 Adobe 제품군 신규 취약점 보안 업데이트
  3. 2015.03.15 Adobe Flash Player 신규 취약점 보안 업데이트
2015.12.10 10:43

Adobe Flash Player 신규 취약점 보안 업데이트

□ 개요

o Adobe社는 Flash Player에서 발생하는 취약점을 해결한  보안 업데이트를 발표[1]

o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

□ 설명

o Adobe Flash Player의 77개 취약점에 대한 보안 업데이트를 발표[1]

· 임의코드 실행으로 이어질 수 있는 힙 버퍼 오버플로우 취약점(CVE-2015-8438, CVE-2015-8446)

· 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416,

   CVE-0215-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419,

   CVE-2015-8408)

· 기존에 패치된 취약점에 대한 보안 우회 취약점(CVE-2015-8453, CVE-2015-8440, CVE-2015-8409)

· 임의코드 실행으로 이어질 수 있는 스택 오버플로우 취약점(CVE-2015-8407)

· 임의코드 실행으로 이어질 수 있는 type confusion 취약점(CVE-2015-8439)

· 임의코드 실행으로 이어질 수 있는 정수 오버플로우 취약점(CVE-2015-8445)

· 임의코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2015-8050, CVE-2015-8049, CVE-2015- 8437, CVE-2015-8450,

   CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412,

   CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423,

   CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427,

   CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059,

   CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066,

   CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404,

   CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070,

   CVE-2015-8441, CVE-2015-8442, CVE-2015-8447)


□ 영향 받는 소프트웨어

o Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime(support for internet Explorer)

윈도우즈

20.0.0.228 및 이전버전

Adobe Flash Player Desktop Runtime(support for Firefox and Safari)

윈도우즈

20.0.0.235 및 이전버전

Adobe Flash Player Extended Support Release

윈도우즈

18.0.0.268 및 이전버전

Adobe Flash Player for Google Chrome

윈도우즈, Linux, ChromeOS

20.0.0.228 및 이전버전

Adobe Flash Player for Microsoft Edge and Internet Explorer 11

윈도우즈 10

20.0.0.228 및 이전버전

Adobe Flash Player for Internet Explorer 10 and 11

윈도우즈  8.0 , 윈도우즈8.1

20.0.0.228 및 이전버전

Adobe Flash Player for Linux

Linux

11.2.202.554 및 이전버전

 

□ 해결 방안

o Adobe Flash Player 사용자

윈도우즈맥 환경의 Adobe Flash Player desktop runtime 사용자는 20.0.0.228(Internet Explorer) 및 20.0.0.235(FireFox, Safari) 버전으로 업데이트

  적용

· Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나자동 업데이트를 이용하여

  업그레이드

Adobe Flash Player Extended Support Release 사용자는 18.0.0.268 버전으로 업데이트 적용

리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.554 버전으로 업데이트 적용

구글 크롬 및 Microsoft Edge 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가

  적용

 

□ 용어 정리

정수 오버플로우 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점

Use-After-Free 취약점 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속

  참조(사용)하여 발생하는 취약점

 

□ 기타 문의사항

한국인터넷진흥원 인터넷침해대응센터국번없이 118

 

[참고사이트]

[1] https://helpx.adobe.com/security/products/flash-player/apsb15-32.html


Trackback 0 Comment 0
2015.04.20 15:13

Adobe 제품군 신규 취약점 보안 업데이트

개요

  • Adobe社는 Flash Player, ColdFusion 및 Flex에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1][2][3]
  • 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

설명

  • Adobe Flash Player의 22개 취약점에 대한 보안 업데이트를 발표[1]
    • 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043)
    • 임의코드 실행으로 이어질 수 있는 type confusion 취약점(CVE-2015-0356)
    • 임의코드 실행으로 이어질 수 있는 버퍼 오버플로우 취약점(CVE-2015-0348)
    • 임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039)
    • 임의코드 실행으로 이어질 수 있는 double-free 취약점(CVE-2015-0346, CVE-2015-0359)
    • ASLR 우회에 사용되는 메모리 누수 취약점(CVE-2015-0357, CVE-2015-3040)
    • 정보 누출로 이어질 수 있는 보안 우회 취약점(CVE-2015-3044)
  • Adobe ColdFusion의 1개 취약점에 대한 보안 업데이트를 발표[2]
    • 크로스 사이트 스크립팅(Cross-Site Scripting(XSS)) 취약점(CVE-2015-0345)
  • Adobe Flex의 1개 취약점에 대한 보안 업데이트를 발표[3]
    • 크로스 사이트 스크립팅(Cross-Site Scripting(XSS)) 취약점(CVE-2015-1773)

 

영향 받는 소프트웨어

  • Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime

윈도우즈

17.0.0.134 및 이전버전

Adobe Flash Player Extended Support Release

윈도우즈

13.0.0.277 및 이전버전

Adobe Flash Player for Google Chrome

윈도우즈리눅스

17.0.0.134 및 이전버전

Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11

Windows 8.0, 8.1

17.0.0.134 및 이전버전

Adobe Flash Player

Linux

11.2.202.451 및 이전버전

  • Adobe ColdFusion

소프트웨어 명

동작환경

영향 받는 버전

ColdFusion

모든 플랫폼

11 및 10

  • Adobe Flex

소프트웨어 명

동작환경

영향 받는 버전

Flex

모든 플랫폼

4.6 및 이전버전

 

해결 방안


용어 정리

  • ColdFusion : Adobe社에서 만든 애플리케이션(웹 서비스) 개발을 위한 RAD 플랫폼
  • Type Confusion 취약점 : 객체의 타입(type)을 혼동하여 발생하는 오류 및 취약점
  • Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점
  • Double Free 취약점 : 특정 힙 영역을 두 번 해제시켜 메모리 포인터를 조작할 수 있는 취약점
  • Cross-site-scripting 취약점 : 관리자가 아닌 일반 사용자가 악성 스크립트를 삽입할 수 있는 취약점

 

기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] htps://helpx.adobe.com/security/products/flash-player/apsb15-06.html

[2] https://helpx.adobe.com/security/products/coldfusion/apsb15-07.html

[3] https://helpx.adobe.com/security/products/flex/apsb15-08.html


Trackback 0 Comment 0
2015.03.15 19:54

Adobe Flash Player 신규 취약점 보안 업데이트

개요
  • Adobe社는 Adobe Flash Player에서 발생하는 신규 취약점을 해결한 보안 업데이트를 발표[1]
  • 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

설명
  • 메모리 손상 취약점(CVE-2015-0332 ~ 0333, CVE-2015-0335, CVE-2015-0339)
  • type confusion 취약점(CVE-2015-0334, CVE-2015-0336)
  • 크로스 도메인 정책 우회 취약점(CVE-2015-0337)
  • 파일 업로드 제한 우회 취약점(CVE-2015-0340)
  • 정수 오버 플로우 취약점(CVE-2015-0338)
  • Use-After-Free 취약점(CVE-2015-0341 ~ 0342)

영향 받는 소프트웨어
  • Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime

Windows, Mac, Linux

16.0.0.305및 이전버전

Adobe Flash Player Extended Support Release

Windows, Mac

13.0.0.269및 이전버전

Adobe Flash Player for Google Chrome

Windows, Mac, Linux

16.0.0.305및 이전버전

Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11

Windows 8.0, 8.1

16.0.0.305및 이전버전

Adobe Flash Player

Linux

11.2.202.429및 이전버전


해결 방안
  • Adobe Flash Player 사용자
- Windows, Mac 환경의 Adobe Flash Player desktop runtime 사용자는 Adobe Flash Player17.0.0.134 버전으로 업데이트 적용
  • Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드
- Adobe Flash Player Extended Support Release 사용자는 13.0.0.277 버전으로 업데이트 적용
  • http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html에 방문하여 최신 버전을 설치
- Linux 환경의 Adobe Flash Player 사용자는 11.2.202.451 버전으로 업데이트 적용
  • Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치
- Google Chrome에 Adobe Flash Player를 설치한 사용자는 자동으로 Adobe Flash Player 17.0.0.134이 포함된 최신 업데이트가 적용
- Windows 8.x의 Internet Explorer에 Adobe Flash Player를 설치한 사용자는 자동으로 Adobe Flash Player 17.0.0.134이 포함된 최신 업데이트가 적용
   
  • 자동 업데이트를 이용하여 Adobe Flash Player 17.0.0.134 버전으로 업데이트 적용
- Flash Player버전 확인 및 자동 업데이트 설정 방법
   1. 제어판에서 Flasy Player를 클릭(아이콘이 보이지 않을 경우 보기 기준을 ‘큰 아이콘’으로 변경
   2. Flash Player설정 관리자에서 업데이트탭 클릭 후 ‘Adobe가 업데이트를 설치하도록 허용(권장)’ 클릭


용어 정리
  • Type Confusion : 객체의 타입(type)을 혼동하여 발생하는 오류 및 취약점
  • Use-After-Free : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점

기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb15-05.html



Trackback 0 Comment 0