'use-after-free'에 해당되는 글 17건

  1. 2017.03.22 Adobe Flash Player 신규 취약점 보안 업데이트
  2. 2017.03.09 리눅스 커널 로컬 권한 상승 취약점
  3. 2017.01.21 Adobe Flash Player 신규 취약점 보안 업데이트
2017.03.22 19:17

Adobe Flash Player 신규 취약점 보안 업데이트

□ 개요
 o Adobe社는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1]
 o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트 권고
 
□ 설명
 o 임의 코드 실행으로 이어질 수 있는 BOF 취약점(CVE-2017-2997)
 o 임의 코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2017-2998, CVE-2017-2999)
 o 임의 코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2017-3001, CVE-2017-3002, CVE-2017-3003)
 o 정보 노출로 이어질 수 있는 난수 생성 관련 취약점(CVE-2017-3000)

□ 영향 받는 소프트웨어
 o Adobe Flash Player

소프트웨어 명동작환경영향 받는 버전
Adobe Flash Player
Desktop Runtime
Windows, Mac, Linux24.0.0.221 및 이전버전
Adobe Flash Player for
Google Chrome
Windows, Mac, Linux, Chrome OS24.0.0.221 및 이전버전
Adobe Flash Player for
Microsoft Edge and
Internet Explorer 11
Windows 10 and 8.124.0.0.221 및 이전버전


□ 해결 방안
 o Adobe Flash Player 사용자
  - Windows, Mac, Linux 환경의 Adobe Flash Player Desktop Runtime 사용자는 Player 25.0.0.127 버전으로 업데이트 적용
    ※ Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동 업데이트를
       이용하여 업그레이드
  - Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
  - Windows 10 및 Windows 8.1에서 Microsoft Edge, Internet Explorer 11에 Adobe Flash Player를 설치한 사용자는 자동으로 최신
    업데이트가 적용

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb17-07.html


Trackback 0 Comment 0
2017.03.09 09:37

리눅스 커널 로컬 권한 상승 취약점

□ 개요
 o 리눅스 커널의 DCCP 프로토콜에서 use-after-free을 악용해 로컬 사용자가 루트 권한을 얻거나 서비스 거부를 유발하는 취약점 (CVE-2017-6074)발견[1]
 o 해당 취약점에 영향을 받는 버전 사용자는 인가되지 않은 사용자가 루트 권한을 획득할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

□ 해당 시스템
 o 영향을 받는 소프트웨어
  - Linux Kernel 4.9.11을 포함한 이전 버전을 사용하는 시스템

□ 해결 방안
 o 해당 취약점에 해당되는 커널 버전 사용자는 최신 버전으로 업데이트 수행 [2]
 o 보안 업데이트가 공개된 운영체제를 운영하고 있을 경우, 참고 사이트의 내용을 참조하여 보안 조치 또는 업데이트 수행
  - Debian [3]
  - Ubuntu [4]
  - Red Hat/CentOS [5]
  - SUSE/openSUSE [6]
  - Fedora [7]
  - CoreOS [8]
 
□ 용어 정리
 o Use-After-Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6074
[2] https://www.kernel.org/
[3] https://security-tracker.debian.org/tracker/CVE-2017-6074
[4] https://www.ubuntu.com/usn/usn-3207-2/
[5] https://access.redhat.com/security/cve/CVE-2017-6074
[6] https://www.suse.com/security/cve/CVE-2017-6074/
[7] https://bugzilla.redhat.com/show_bug.cgi?id=1425822
[8] https://coreos.com/releases/


Trackback 0 Comment 0
2017.01.21 15:30

Adobe Flash Player 신규 취약점 보안 업데이트

□ 개요
 o Adobe社는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표 [1]
 o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트 권고

□ 설명
 o 정보 노출로 이어질 수 있는 인증 우회 취약점(CVE-2017-2938)
 o 임의 코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2017-2932, CVE-2017-2936, CVE-2017-2937)
 o 임의 코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2017-2927, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935)
 o 임의 코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2017-2925, CVE-2017-2926, CVE-2017-2928, CVE-2017-2930,
    CVE-2017-2931)
 
□ 영향을 받는 제품 및 버전
 o Adobe Flash Player

소프트웨어 명동작환경영향 받는 버전
Adobe Flash Player
Desktop Runtime
윈도우즈, 맥, Linux24.0.0.186 및 이전 버전
Adobe Flash Player
for Google Chrome
윈도우즈, 맥, Linux, Chrome OS24.0.0.186 및 이전 버전
Adobe Flash Player
for Microsoft Edge and
Internet Explorer 11
Windows 10, 8.124.0.0.186 및 이전 버전

 
□ 해결 방안
 o Adobe Flash Player 사용자
  - 윈도우즈, 맥, Linux 환경의 Adobe Flash Player Desktop Runtime 사용자는 24.0.0.194 버전으로 업데이트 적용
     ※ Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동
         업데이트를 이용하여 업그레이드
  - Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
  - Windows 10 및 Windows 8.1에서 Microsoft Edge, 인터넷 익스플로러 11에 Adobe Flash Player를 설치한 사용자는 자동으로 최신
     업데이트가 적용
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb17-02.html


Trackback 0 Comment 0