'use-after-free'에 해당되는 글 17건

  1. 2015.12.10 Adobe Flash Player 신규 취약점 보안 업데이트
  2. 2015.09.22 Adobe Flash Player 신규 취약점 보안 업데이트
  3. 2015.08.31 Firefox 보안 업데이트
2015.12.10 10:43

Adobe Flash Player 신규 취약점 보안 업데이트

□ 개요

o Adobe社는 Flash Player에서 발생하는 취약점을 해결한  보안 업데이트를 발표[1]

o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

□ 설명

o Adobe Flash Player의 77개 취약점에 대한 보안 업데이트를 발표[1]

· 임의코드 실행으로 이어질 수 있는 힙 버퍼 오버플로우 취약점(CVE-2015-8438, CVE-2015-8446)

· 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416,

   CVE-0215-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419,

   CVE-2015-8408)

· 기존에 패치된 취약점에 대한 보안 우회 취약점(CVE-2015-8453, CVE-2015-8440, CVE-2015-8409)

· 임의코드 실행으로 이어질 수 있는 스택 오버플로우 취약점(CVE-2015-8407)

· 임의코드 실행으로 이어질 수 있는 type confusion 취약점(CVE-2015-8439)

· 임의코드 실행으로 이어질 수 있는 정수 오버플로우 취약점(CVE-2015-8445)

· 임의코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2015-8050, CVE-2015-8049, CVE-2015- 8437, CVE-2015-8450,

   CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412,

   CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423,

   CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427,

   CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059,

   CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066,

   CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404,

   CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070,

   CVE-2015-8441, CVE-2015-8442, CVE-2015-8447)


□ 영향 받는 소프트웨어

o Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime(support for internet Explorer)

윈도우즈

20.0.0.228 및 이전버전

Adobe Flash Player Desktop Runtime(support for Firefox and Safari)

윈도우즈

20.0.0.235 및 이전버전

Adobe Flash Player Extended Support Release

윈도우즈

18.0.0.268 및 이전버전

Adobe Flash Player for Google Chrome

윈도우즈, Linux, ChromeOS

20.0.0.228 및 이전버전

Adobe Flash Player for Microsoft Edge and Internet Explorer 11

윈도우즈 10

20.0.0.228 및 이전버전

Adobe Flash Player for Internet Explorer 10 and 11

윈도우즈  8.0 , 윈도우즈8.1

20.0.0.228 및 이전버전

Adobe Flash Player for Linux

Linux

11.2.202.554 및 이전버전

 

□ 해결 방안

o Adobe Flash Player 사용자

윈도우즈맥 환경의 Adobe Flash Player desktop runtime 사용자는 20.0.0.228(Internet Explorer) 및 20.0.0.235(FireFox, Safari) 버전으로 업데이트

  적용

· Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나자동 업데이트를 이용하여

  업그레이드

Adobe Flash Player Extended Support Release 사용자는 18.0.0.268 버전으로 업데이트 적용

리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.554 버전으로 업데이트 적용

구글 크롬 및 Microsoft Edge 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가

  적용

 

□ 용어 정리

정수 오버플로우 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점

Use-After-Free 취약점 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속

  참조(사용)하여 발생하는 취약점

 

□ 기타 문의사항

한국인터넷진흥원 인터넷침해대응센터국번없이 118

 

[참고사이트]

[1] https://helpx.adobe.com/security/products/flash-player/apsb15-32.html


Trackback 0 Comment 0
2015.09.22 21:09

Adobe Flash Player 신규 취약점 보안 업데이트


□ 개요

Adobe는 Flash Player에서 발생하는 취약점을 해결한보안 업데이트를 발표[1]

낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

□ 설명

o Adobe Flash Player의 취약점에 대한 보안 업데이트를 발표[1]

 ·임의코드 실행으로 이어질 수 있는 타입 혼란 취약점(CVE-2015-5573)

 ·임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2015-5570, CVE-2015-5574, CVE-2015-5581, CVE-2015-5584, CVE-2015-6682)

 ·임의코드 실행으로 이어질 수 있는 버퍼 오버플로우 취약점(CVE-2015-6676, CVE-2015-6678)

 ·임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-5575, CVE-2015-5577, CVE-2015-5578, CVE-2015-5580, CVE-2015-5582, CVE-2015-5588, CVE-2015-6677)

 ·취약한 JSONP 콜백API로부터 악성 콘텐츠를 거절할 수 있는 업데이트(CVE-2015-5571)

 ·메모리 유출 취약점을 해결할 수 있는 업데이트(CVE-2015-5576)

 ·벡터 길이 충돌에 대응할 수 있는 업데이트(CVE-2015-5568)

 ·임의코드 실행으로 이어질 수 있는 스택 충돌 취약점(CVE-2015-5567, CVE-2015-5579)

 ·임의코드 실행으로 이어질 수 있는 스택 오버플로어 취약점(CVE-2015-5587)

 ·정보노출로 이어질 수 있는 보안 우회 취약점(CVE-2015-5572)

 ·정보노출과 same-origin 정책을 우회할 수 있는 취약점(CVE-2015-6679)

 

 

□ 영향 받는 소프트웨어

o Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime

윈도우즈

18.0.0.232 및 이전버전

Adobe Flash Player Extended Support Release

윈도우즈

13.0.0.232 및 이전버전

Adobe Flash Player for Google Chrome

윈도우즈리눅스

18.0.0.233 및 이전버전

Adobe Flash Player for Microsoft Edge and Internet Explorer 11

윈도우즈 10

18.0.0.232 및 이전버전

Adobe Flash Player for Internet Explorer 10,11

윈도우즈 8.0, 8.1

18.0.0.232 및 이전버전

Adobe Flash Player for Linux

리눅스

11.2.202.508 및 이전버전

Air Desktop Runtime

윈도우즈

18.0.0.199 및 이전버전

Air SDK

윈도우즈안드로이드, iOS

18.0.0.199 및 이전버전

Air SDK & Compiler

윈도우즈안드로이드, iOS

18.0.0.180 및 이전버전

Air for Android

안드로이드

18.0.0.143 및 이전버전

 

□ 해결 방안

o Adobe Flash Player 사용자

 - 윈도우즈맥 환경의 Adobe Flash Player desktop runtime 사용자는 19.0.0.185버전으로 업데이트 적용

 · Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나자동 업데이트를 이용하여 업그레이드

 - Adobe Flash Player Extended Support Release 사용자는 18.0.0.241 버전으로 업데이트 적용

 - 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.521 버전으로 업데이트 적용

 - Adobe Flash Player가 설치된 Google Chrome은 자동으로 최신 업데이트 버전 적용

 - 구글 크롬 및 윈도우 8.x, 10 버전의 인터넷 익스플로러 10, 11, EDGE에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가 적용

 - AIR desktop runtime, AIR SDK 과 Compiler, AIR for Android사용자는 19.0.0.190 버전으로 업데이트 적용

 

□ 용어 정리

o Type Confusion취약점 객체의 타입(type)을 혼동하여 발생하는 오류 및 취약점

Use-After-Free 취약점 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점

Adobe AIR(Adobe Integrated Runtime): HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구

 

□ 기타 문의사항

한국인터넷진흥원 인터넷침해대응센터국번없이 118

 

[참고사이트]

[1] https://helpx.adobe.com/security/products/flash-player/apsb15-23.html


Trackback 0 Comment 0
2015.08.31 18:17

Firefox 보안 업데이트

□ 개요

   o 모질라 재단에서 Firefox와 Firefox ESR에 대해 보안 업데이트 발표[1]


□ 설명

   o Firefox와 Firefox ESR에서 발생한 UAF(Use-After-Free) 취약점 (CVE-2015-4497)

   o Firefox와 Firefox ESR의 Add-on 기능에서 발생한 보안 우회 취약점 (CVE-2015-4498)



□ 해당 시스템

   o 영향 받는 제품 및 버전

제품명

영향 받는 버전

해결 버전

Firefox

40.0.3 이전버전

40.0.3

Firefox ESR(Extended Support Release)

38.2.1 이전버전

38.2.1


□ 해결 방안

   o Firefox를 실행하여 메뉴버튼을 클릭하고, 도움말 클릭 후 “Firefox 정보” 선택


   o Firefox 정보 창이 열리면 자동으로 업데이트를 확인하고 새버전 다운로드


   o 다운로드가 완료되고 설치 준비가 완료되면 “Firefox를 지금 다시 시작” 버튼을 클릭

      

    ※ 위와 같은 방법으로 업데이트가 시작되지 않거나 완료되지 않는다면 최신 Firefox를 다운받아 재설치 권고


□ 기타 문의사항

   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]

[1]https://www.us-cert.gov/ncas/current-activity/2015/08/27/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR


Trackback 0 Comment 0