어도비 플래시 업뎃하세요
2015.12.10 20:56
Adobe Flash Player 신규 취약점 보안 업데이트 권고2015.12.09
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23844
□ 개요
o Adobe社는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1]
o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고
□ 설명
o Adobe Flash Player의 77개 취약점에 대한 보안 업데이트를 발표[1]
· 임의코드 실행으로 이어질 수 있는 힙 버퍼 오버플로우 취약점(CVE-2015-8438, CVE-2015-8446)
· 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416,
CVE-0215-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419,
CVE-2015-8408)
· 기존에 패치된 취약점에 대한 보안 우회 취약점(CVE-2015-8453, CVE-2015-8440, CVE-2015-8409)
· 임의코드 실행으로 이어질 수 있는 스택 오버플로우 취약점(CVE-2015-8407)
· 임의코드 실행으로 이어질 수 있는 type confusion 취약점(CVE-2015-8439)
· 임의코드 실행으로 이어질 수 있는 정수 오버플로우 취약점(CVE-2015-8445)
· 임의코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2015-8050, CVE-2015-8049, CVE-2015- 8437, CVE-2015-8450,
CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412,
CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423,
CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427,
CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059,
CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066,
CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404,
CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070,
CVE-2015-8441, CVE-2015-8442, CVE-2015-8447)
□ 영향 받는 소프트웨어
o Adobe Flash Player
소프트웨어 명 | 동작 환경 | 영향 받는 버전 |
Adobe Flash Player Desktop Runtime (support for internet Explorer) | 윈도우즈, 맥 | 20.0.0.228 및 이전버전 |
Adobe Flash Player Desktop Runtime (support for Firefox and Safari) | 윈도우즈, 맥 | 20.0.0.235 및 이전버전 |
Adobe Flash Player Extended Support Release | 윈도우즈, 맥 | 18.0.0.268 및 이전버전 |
Adobe Flash Player for Google Chrome | 윈도우즈, 맥, Linux, ChromeOS | 20.0.0.228 및 이전버전 |
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 윈도우즈 10 | 20.0.0.228 및 이전버전 |
Adobe Flash Player for Internet Explorer 10 and 11 | 윈도우즈 8.0 , 윈도우즈 8.1 | 20.0.0.228 및 이전버전 |
Adobe Flash Player for Linux | Linux | 11.2.202.554 및 이전버전 |
□ 해결 방안
o Adobe Flash Player 사용자
- 윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime 사용자는 20.0.0.228(Internet Explorer) 및 20.0.0.235(FireFox, Safari) 버전으로 업데이트
적용
· Adobe Flash Player Download Center( https://www.adobe.com/go/getflash )에 방문하여 최신 버전을 설치하거나, 자동 업데이트를 이용하여
업그레이드
- Adobe Flash Player Extended Support Release 사용자는 18.0.0.268 버전으로 업데이트 적용
- 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.554 버전으로 업데이트 적용
- 구글 크롬 및 Microsoft Edge의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트가
적용
□ 용어 정리
o 정수 오버플로우 : 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점
o Use-After-Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속
참조(사용)하여 발생하는 취약점
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb15-32.html
★ 삭제하고 아예 안쓰는게 더 좋은 방법입니다 ★
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=016&aid=0000931949
중요한 부분만 대충 요약하면, 플래시 퇴출 속도가 빨라지고 있으며, 어도비사도 2016년 1월말에 플래시 다운로드 서비스를 중단하고, 차후 HTML5 기반 디자인툴을 활성화 한다고 합니다
매니안도 구멍숭숭 플래시 퇴출운동에 빨리 동참했으면 좋겠어요