'use-after-free'에 해당되는 글 17건

  1. 2015.07.08 Adobe Flash Player 신규 취약점 주의
  2. 2015.06.15 Adobe Flash Player 신규 취약점 보안 업데이트
  3. 2015.03.15 Adobe Flash Player 신규 취약점 보안 업데이트
2015.07.08 21:44

Adobe Flash Player 신규 취약점 주의

개요

  • Adobe社의 Flash Player에 영향을 주는 제로데이 취약점이 발견됨[1]
     ※ 업데이트 파일은 7.8(현지시간) 제공될 예정
  • 공격자는 특수하게 조작된 Flash파일이 포함된 웹페이지, 스팸 메일 등을 사용자가 열어보도록 유도하여
    악성코드 유포 가능


설명

  • Use-After-Free 취약점(CVE-2015-5119)


영향 받는 소프트웨어

  • Adobe Flash Player


소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player

Windows, Mac

18.0.0.194 및 이전버전

Adobe Flash Player Extended Support Release

Windows, Mac

13.0.0.296 및 이전버전

Adobe Flash Player

Linux

11.2.202.468 및 이전버전



임시 권고 사항

  • 해당 취약점에 대한 보안 업데이트가 발표되지 않아 패치가 발표 될 때까지 Flash Player 사용 자제
  • 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수
    • 신뢰되지 않는 웹 사이트의 방문 자제
    • 출처가 불분명한 이메일 및 링크를 열어보지 않음
    • 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화


문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]

[1] https://helpx.adobe.com/security/products/flash-player/apsa15-03.html


Trackback 0 Comment 0
2015.06.15 19:35

Adobe Flash Player 신규 취약점 보안 업데이트

개요

  • Adobe는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1]
    • 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고


설명

  • Adobe Flash Player의 13개 취약점에 대한 보안 업데이트를 발표[1]
    • ASLR 보안 기능 우회 취약점(CVE-2015-3097)
    • same-origin-policy 우회 및 정보 누출 취약점(CVE-2015-3098, CVE-2015-3099, CVE-2015-3102)
    • 임의코드 실행으로 이어질 수 있는 스택 오버플로우 취약점(CVE-2015-3100)
    • 무결성 레벨에 대한 권한 상승 취약점(CVE-2015-3101)
    • 임의코드 실행으로 이어질 수 있는 정수 오버플로우 취약점(CVE-2015-3104)
    • 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-3105)
    • 임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2015-3103, CVE-2015-3106, CVE-2015-3107)
    • ASLR 우회에 사용되는 메모리 누수 취약점(CVE-2015-3108)
    • 기존에 패치된 취약점에 대한 보안 우회 취약점(CVE-2015-3096)


영향 받는 소프트웨어

  • Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime

윈도우즈

17.0.0.188 및 이전버전

Adobe Flash Player Extended Support Release

윈도우즈

13.0.0.289 및 이전버전

Adobe AIR Desktop Runtime

윈도우즈

17.0.0.172 및 이전버전

Adobe SDK & Compiler

윈도우즈

17.0.0.172 및 이전버전

Adobe Flash Player

Linux

11.2.202.460 및 이전버전

 

해결 방안

  • Adobe Flash Player 사용자
    • 윈도우즈맥 환경의 Adobe Flash Player desktop runtime 사용자는 18.0.0.160버전으로 업데이트 적용
      • Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나자동 업데이트를 이용하여 업그레이드
    • Adobe Flash Player Extended Support Release 사용자는 13.0.0.292 버전으로 업데이트 적용
    • 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.466 버전으로 업데이트 적용
    • 구글 크롬 및 윈도우 8.x 버전의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가 적용


용어 정리

  • 정수 오버플로우 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점
  • Use-After-Free 취약점 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점
  • Adobe AIR(Adobe Integrated Runtime): HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터국번없이 118


[참고사이트]

[1] https://helpx.adobe.com/security/products/flash-player/apsb15-11.html


Trackback 0 Comment 0
2015.03.15 19:54

Adobe Flash Player 신규 취약점 보안 업데이트

개요
  • Adobe社는 Adobe Flash Player에서 발생하는 신규 취약점을 해결한 보안 업데이트를 발표[1]
  • 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

설명
  • 메모리 손상 취약점(CVE-2015-0332 ~ 0333, CVE-2015-0335, CVE-2015-0339)
  • type confusion 취약점(CVE-2015-0334, CVE-2015-0336)
  • 크로스 도메인 정책 우회 취약점(CVE-2015-0337)
  • 파일 업로드 제한 우회 취약점(CVE-2015-0340)
  • 정수 오버 플로우 취약점(CVE-2015-0338)
  • Use-After-Free 취약점(CVE-2015-0341 ~ 0342)

영향 받는 소프트웨어
  • Adobe Flash Player

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime

Windows, Mac, Linux

16.0.0.305및 이전버전

Adobe Flash Player Extended Support Release

Windows, Mac

13.0.0.269및 이전버전

Adobe Flash Player for Google Chrome

Windows, Mac, Linux

16.0.0.305및 이전버전

Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11

Windows 8.0, 8.1

16.0.0.305및 이전버전

Adobe Flash Player

Linux

11.2.202.429및 이전버전


해결 방안
  • Adobe Flash Player 사용자
- Windows, Mac 환경의 Adobe Flash Player desktop runtime 사용자는 Adobe Flash Player17.0.0.134 버전으로 업데이트 적용
  • Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드
- Adobe Flash Player Extended Support Release 사용자는 13.0.0.277 버전으로 업데이트 적용
  • http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html에 방문하여 최신 버전을 설치
- Linux 환경의 Adobe Flash Player 사용자는 11.2.202.451 버전으로 업데이트 적용
  • Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치
- Google Chrome에 Adobe Flash Player를 설치한 사용자는 자동으로 Adobe Flash Player 17.0.0.134이 포함된 최신 업데이트가 적용
- Windows 8.x의 Internet Explorer에 Adobe Flash Player를 설치한 사용자는 자동으로 Adobe Flash Player 17.0.0.134이 포함된 최신 업데이트가 적용
   
  • 자동 업데이트를 이용하여 Adobe Flash Player 17.0.0.134 버전으로 업데이트 적용
- Flash Player버전 확인 및 자동 업데이트 설정 방법
   1. 제어판에서 Flasy Player를 클릭(아이콘이 보이지 않을 경우 보기 기준을 ‘큰 아이콘’으로 변경
   2. Flash Player설정 관리자에서 업데이트탭 클릭 후 ‘Adobe가 업데이트를 설치하도록 허용(권장)’ 클릭


용어 정리
  • Type Confusion : 객체의 타입(type)을 혼동하여 발생하는 오류 및 취약점
  • Use-After-Free : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점

기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb15-05.html



Trackback 0 Comment 0