홈으로
 
공지사항
IT/보안소식
자료실
Q&A게시판
(개인)정보보안
HOME > 커뮤니티 > IT/보안소식
글쓴이 전자계산소 조회수 269
제목 Adobe 제품군 신규 취약점 보안 업데이트 권고
개요
•Adobe社는 Flash Player, ColdFusion 및 Flex에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1][2][3]
•낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

설명
•Adobe Flash Player의 22개 취약점에 대한 보안 업데이트를 발표[1]
o임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043)
o임의코드 실행으로 이어질 수 있는 type confusion 취약점(CVE-2015-0356)
o임의코드 실행으로 이어질 수 있는 버퍼 오버플로우 취약점(CVE-2015-0348)
o임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039)
o임의코드 실행으로 이어질 수 있는 double-free 취약점(CVE-2015-0346, CVE-2015-0359)
oASLR 우회에 사용되는 메모리 누수 취약점(CVE-2015-0357, CVE-2015-3040)
o정보 누출로 이어질 수 있는 보안 우회 취약점(CVE-2015-3044)
•Adobe ColdFusion의 1개 취약점에 대한 보안 업데이트를 발표[2]
o크로스 사이트 스크립팅(Cross-Site Scripting(XSS)) 취약점(CVE-2015-0345)
•Adobe Flex의 1개 취약점에 대한 보안 업데이트를 발표[3]
o크로스 사이트 스크립팅(Cross-Site Scripting(XSS)) 취약점(CVE-2015-1773)

영향 받는 소프트웨어
•Adobe Flash Player
소프트웨어명 동작환경 영향 받는 버전
Adobe Flash Player Desktop Runtime 윈도우즈, 맥 17.0.0.134 및 이전버전
Adobe Flash Player Extended Support Release 윈도우즈, 맥 13.0.0.277 및 이전버전
Adobe Flash Player for Google Chrome 윈도우즈, 맥, 리눅스 17.0.0.134 및 이전버전
Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11 Windows 8.0, 8.1 17.0.0.134 및 이전버전
Adobe Flash Player Linux 11.2.202.451 및 이전버전
• Adobe ColdFusion
소프트웨어 명 동작환경 영향 받는 버전
ColdFusion 모든 플랫폼 11 및 10
• Adobe Flex
소프트웨어 명 동작환경 영향 받는 버전
Flex 모든 플랫폼 4.6 및 이전버전

해결 방안
•Adobe Flash Player 사용자
o윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime 사용자는 17.0.0.169버전으로 업데이트 적용
Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드
oAdobe Flash Player Extended Support Release 사용자는 13.0.0.281 버전으로 업데이트 적용
o리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.451 버전으로 업데이트 적용
o구글 크롬 및 윈도우 8.x 버전의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가 적용
•Adobe ColdFusion 사용자
o다음과 같은 Adobe ColdFusion Help 문서를 참조하여 보안업데이트 적용
ColdFusion 11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-5.html
ColdFusion 10: http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-16.html
•Adobe Flex 사용자
o아래의 링크에서 index.html 파일을 다운로드하여 기존 index.html 파일의 적용 사항을 수정한 후 web site에 결과물을 적용
https://git-wip-us.apache.org/repos/asf/flex-sdk/repo?p=flex-sdk.git;a=blob;f=asdoc/templates/index.html;h=b9e46cded17d791edeffeddd01ecef8eef4adeae;hb=refs/heads/develop

용어 정리
•ColdFusion : Adobe社에서 만든 애플리케이션(웹 서비스) 개발을 위한 RAD 플랫폼
•Type Confusion 취약점 : 객체의 타입(type)을 혼동하여 발생하는 오류 및 취약점
•Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점
•Double Free 취약점 : 특정 힙 영역을 두 번 해제시켜 메모리 포인터를 조작할 수 있는 취약점
•Cross-site-scripting 취약점 : 관리자가 아닌 일반 사용자가 악성 스크립트를 삽입할 수 있는 취약점

기타 문의사항
•한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] htps://helpx.adobe.com/security/products/flash-player/apsb15-06.html
[2] https://helpx.adobe.com/security/products/coldfusion/apsb15-07.html
[3] https://helpx.adobe.com/security/products/flex/apsb15-08.html
등록일 2015-04-20
홈으로
성공회대학교홈페이지 개인정보처리방침 이메일주소무단수집거부