□ 개요
   o Adobe Flash Player에서 입력 검증 오류, 버퍼오버플로, 클릭재킹 등의 다수 취약점이 
     발견되어 보안 업데이트가 발표됨[1]
   o 낮은 버전의 Adobe Flash Player 사용으로 악성코드 감염 등의 사고가 발생할 수 있음으로 
     사용자의 주의 및 최신버전 설치가 권고됨

□ 해당프로그램
   o Adobe Flash Player 10.0.12.36 이하 버전이 설치된 Linux 제외 모든 운영체제
   o Adobe Flash Player 10.0.12.36 이하 버전 - 내부 네트워크 배포용
   o Adobe Flash Player 10.0.15.3 이하 버전이 설치된 Linux 운영체제
   o Adobe AIR 1.5 버전
   o Adobe Flash CS4 Professional에서 사용되는 Adobe Flash Player 10.0.22.87 이전버전
   o Adobe Flash CS3 Professional에서 사용되는 Adobe Flash Player / Debug Player 9.0.159.0 
     이전버전
   o Adobe Flex 3에서 사용되는 Adobe Flash Debug Player 10.0.22.87 이전버전 

□ 설명
   o Adobe Flash Player 취약점에 대한 보안 업데이트(총 5건)가 아래와 같이 발표됨
     ① Adobe Flash Player가 개체를 삭제하는 과정에서 개체에 할당된 메모리를 적절히 해제하지 
        않아 발생하는 원격코드 실행 가능한 버퍼오버플로 취약점[2](CVE-2009-0520)
     ② Adobe Flash Player가 부적절하게 입력 검증하는 과정에서 발생하는 서비스 거부 취약점[3]
        (CVE-2009-0519)
     ③ Adobe Flash Player의 설정 관리자로 인한 클릭재킹 취약점[4](CVE-2009-0114)
     ④ Windows 운영체제에서 마우스 포인터를 출력할 때 발생하는 클릭재킹 취약점[5]
        (CVE-2009-0522)
     ⑤ Linux 운영체제에서 권한 상승으로 연계될 수 있는 정보 노출 취약점[6](CVE-2009-0521)
                      
   o 상기 취약점을 이용하여 공격자는 SWF 파일을 조작하여 피해자의 PC에 악성 스크립트를 
     실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음

□ 해결방안
   o 다음 표와 같은 버전의 Adobe 제품 사용자는 취약하지 않은 버전으로 업데이트 할 것을 권고함
     ※ 일부 Adobe 제품은 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치 전 확인 필요

취약 소프트웨어	취약점 보완 버전	업데이트 사이트
Adobe Flash Player 10.0.12.36 이하버전	10.0.22.87	플레이어 다운로드 센터[7]
Adobe Flash Player 10.0.12.36 이하버전 - 내부 네트워크 배포용	10.0.22.87	플레이어 정품 인증[8]
Adobe Flash Player 10.0.15.3 이하버전 - Linux 운영체제	10.0.22.87	플레이어 다운로드 센터[7]
AIR 1.5	AIR 1.5.1	AIR 다운로드 센터[9]
Adobe Flash CS4 Professional	10.0.22.87	Adobe Flash CS4 Pro 업데이트[10]
Adobe Flash CS3 Professional	9.0.159.0	플래시 디버그 플레이어 업데이트[11]
Adobe Flex 3	10.0.22.87	플래시 디버그 플레이어 업데이트[11]

   o Adobe Flash 컨텐츠를 사용하는 웹서버 관리자는 아래와 같이 웹페이지를 수정하여
      이용자들이 최신버전 Adobe Flash Player를 설치하도록 ActiveX 버전 수정 필요

< object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=10,0,22,87" width="921" height="109" >

   o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을
     준수해야 함
     - 신뢰되지 않은 웹사이트의 플래시 파일 다운로드 주의 
     - 의심되는 이메일에 포함된 플래시 파일 링크를 방문하지 않음 
     - 개인방화벽과 백신제품 사용 등

□ 용어 정리
   o 클릭재킹 : 사용자가 웹 페이지를 클릭 할 때 자신도 모르게 의도하지 않은 기능을 실행 
     하여 공격자가 컴퓨터에 대한 제어권 혹은 중요 정보를 획득하는 취약점[12]
   o Adobe Flash CS3/CS4 Professional : Adobe Flash 애니메이션 제작을 위한 도구[13]
   o Adobe AIR(Adobe Integrated Runtime) : 이미 입증된 웹 기술을 브라우저 외부 데스크톱 
     에서 실행될 수 있도록 도와주는 프로그램 제작 도구[14]
   o Adobe Flex : Adobe Flash Player 또는 Adobe AIR에서 사용할 인터넷 어플리케이션 
     개발 도구[15]

□ 기타 문의사항
   o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118

□ 참고사이트
   [01] http://www.adobe.com/support/security/bulletins/apsb09-01.html
   [02] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0520
   [03] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0519
   [04] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0114
   [05] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0522
   [06] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0521
   [07] http://www.adobe.com/go/getflash
   [08] http://www.adobe.com/products/players/fpsh_distribution1.html
   [09] http://get.adobe.com/kr/air/
   [10] http://www.adobe.com/support/flashplayer/downloads.html#fp10
   [11] http://www.adobe.com/support/flashplayer/downloads.html#fp9
   [12] http://en.wikipedia.org/wiki/Clickjacking
   [13] http://www.adobe.com/kr/products/flash/
   [14] http://www.adobe.com/products/air/
   [15] http://www.adobeflex.co.kr/aboutflex/flex.html