내가찾은 신대륙 넥스트라인

제목

Adobe Flash Player 및 AIR 다중 취약점 보안업데이트 권고

작성일

2010-08-12 11:38:45

□ 개요
o Adobe社는 Adobe Flash Player 및 Adobe AIR에 영향을 주는 다수의 취약점을 해결한 보안
     업데이트에 대한 공지를 발표[1]
o 공격자는 해당 취약점을 악용하여 영향 받는 소프트웨어를 비정상적으로 종료시키거나, 임의의
     명령을 실행하여 시스템에 대한 권한 획득할 수 있음
o 낮은 버전의 Adobe Flash Player/Adobe Air 사용으로 악성코드 감염 등의 사고가 발생할 수
     있으므로 사용자의 주의 및 최신버전 설치 권고

□ 설명
o Adobe社는 Adobe Flash Player 및 AIR의 취약점 6개에 대한 보안업데이트를 발표함[1]
    - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-0209)
    - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2188)
    - 임의코드실행으로 연계 가능한 다중 메모리 손상 취약점(CVE-2010-2213)
    - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2214)
    - 클릭재킹 공격으로 연계 가능한 취약점(CVE-2010-2215)
    - 임의코드실행으로 연계 가능한 메모리 손상 취약점(CVE-2010-2216)

□ 영향 받는 시스템
o 영향 받는 소프트웨어
    - Adobe Flash Player 10.1.53.64 버전과 이전 버전
    - Adobe AIR 2.0.2.12610 버전과 이전 버전

□ 해결 방안
o Adobe Flash Player 10.1.53.64와 이전 버전사용자
   - Adobe Download Center(http://get.adobe.com/flashplayer/)에 방문하여 10.1.82.76 버전을
     설치하거나 자동 업데이트를 이용하여 업그레이드
   - 윈도우 98, 윈도우 ME, MAC OSX 10.1-10.3, Red Hat Enterprise Linux 3, 4 이용자의 경우
     Adobe Flash Player 10 및 이후 버전들이 정상적으로 동작하지 않을 수 있으므로 다음 사이트에
     접속하여 Flash Player 9.0.280을 다운로드 후 설치
    * http://kb2.adobe.com/cps/406/kb406791.html

o Adobe AIR 2.0.2.12610 버전과 이전 버전 사용자
   - Adobe AIR Download Center(http://get.adobe.com/kr/air/)에 방문하여 2.0.3으로 업데이트

o Flash 컨텐츠를 사용하는 웹서버 관리자
   - 아래와 같이 웹페이지를 수정하여 이용자들이 최신 버전의 Flash Player를 설치하도록 ActiveX
     버전 수정

□ 용어 설명
o Adobe Flash Player: Adobe Flash나 Adobe Flex 등에서 생성한 SWF 파일을 구동하는 프로그램
o SWF(Shockwave Flash): Macromedia社가 개발한 멀티미디어 및 벡터 그래픽 파일 형식으로
    주로 웹에서 사용됨
o Adobe AIR(Adobe Integrated Runtime): HTML, JavaScript, Adobe Flash 및 ActionScript를
    사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나
    사용할 수 있는 환경을 제공하는 도구[2]
o 클릭재킹: 사용자가 웹 페이지를 클릭할 때 자신도 모르게 의도하지 않은 기능을 실행하여
    공격자가 컴퓨터에 대한 제어권 혹은 중요 정보를 획득하는 취약점[3]

□ 참조 사이트
[1] http://www.adobe.com/support/security/bulletins/apsb10-16.html
[2] http://www.adobe.com/kr/products/air/
[3] http://en.wikipedia.org/wiki/Clickjacking


	애플 모바일운영체제(iOS) 신규취약점 보안업데이트 권고


	[윈도우즈 보안] 2010년 8월 Microsoft 보안 업데이트