ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트
닫기정보보호 관리체계 인증(ISMS)

이전 단계

보안/패치

Adobe Flash Player 다중 취약점 보안업데이트 권고

2008. 04. 14

□ 개요
   o Adobe Flash Player의 특정 보안 제한을 우회하거나, 크로스 사이트 스크립트 공격 또는
     사용자의 시스템을 제어 가능한 다수의 취약점이 발표됨[1].
   o 낮은 버전의 Adobe Flash Player 사용으로 인한 악성코드 감염 등의 사고가 발생할 수 있으므로
     사용자의 주의 및 최신버전 설치를 권고.
□ 취약 대상
   o Adobe Flash Player 9.0.115.0 이하 버전 (모든 운영체제에 해당)
□ 취약점 설명
   o Adobe Flash Player 취약점 총 6건이 아래와 같이 발표됨[2]
     ① "Declare Function (V7)" 태그를 처리하는 과정에서 특별하게 조작된 플래그에 의해 힙
         오버플로우가 발생하는 취약점 (CVE-2007-6019)
     ② 멀티미디어 파일을 처리하는 과정에서 정수형 오버플로우로 인한 버퍼 오버플로우가 발생하여
         임의의 코드를 실행할 수 있는 취약점 (CVE-2007-0071)     
     ③ 호스트 이름을 한 IP 주소로 고정시킬 때 발생하는 오류를 이용하여 DNS rebinding 공격[7]이
         가능한 취약점[3] (CVE-2007-5275)(CVE-2008-1655)
     ④ HTTP 헤더를 보낼 때 오류로 크로스 도메인 정책 파일을 우회하여 크로스 사이트 요청 변조
         공격이 가능한 취약점[6] (CVE-2008-1654)
     ⑤ 크로스 도메인 정책 파일의 사용과 해석의 제한이 충분하지 않아서, 원격에서 크로스 도메인
         또는 크로스 사이트 스크립트 공격이 가능한 취약점[4] (CVE-2007-6243)
     ⑥ 입력 값 처리의 오류로 인해 조작된 SWF 파일을 통해 스크립트나 HTML을 삽입할 수 있는
         다수의 크로스 사이트 스크립트 취약점[5] (CVE-2007-6637)
 □ 영향
   o 상기 취약점을 이용하여 공격자는 조작된 SWF 파일이 포함된 웹 페이지를 방문하는 피해자의
      PC에서 악성 스크립트를 실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음.
 □ 해결방안
   o Adobe Flash Player 9.0.115.0 이하 버전의 사용자는 9.0.124.0 버전으로 업그레이드 할 것을
      권고함.
      - 플레이어 다운로드 센터[8]에서 동의 및 설치 선택.
        (※ 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치전 확인 필요)
   o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을
      준수해야 함.
      - 신뢰되지 않은 웹사이트의 플래시 파일 다운로드 주의
      - 의심되는 이메일에 포함된 플래시 파일 링크를 방문하지 않음
      - 개인방화벽과 백신제품의 사용 등 
□ 용어 정리
   o Adobe Flash Player: Adobe Flash나 Adobe Flex 등에서 생성한 SWF 파일을 구동하는 프로그램
   o SWF(Shockwave Flash): Macromedia社가 개발한 멀티미디어 및 벡터 그래픽 파일 형식으로
      주로 웹에서 사용됨
   o 크로스 사이트 스크립트 (XSS: Cross-Site Scripting): 공격자가 희생자의 브라우저에
      스크립트나 HTML을 삽입하여 세션을 가로채거나, 웹 사이트 변조, 악의적인 콘텐츠를 삽입하는
      공격 방법
   o 크로스 사이트 요청 변조 (CSRF: Cross-Site Request Forgery): 로그인한 피해자의 브라우저가
      의도하지 않은 요청을 보내도록 하여 피해자 대신 악의적인 행위를 수행하도록 만드는 공격 방법
□ 기타 문의사항
   o 한국정보보호진흥원 인터넷침해사고대응지원센터: 국번없이 118 
□ 참고사이트
   [1] http://www.adobe.com/support/security/bulletins/apsb08-11.html
   [2] http://secunia.com/advisories/28083/
   [3] http://secunia.com/cve_reference/CVE-2007-5275/
   [4] http://secunia.com/cve_reference/CVE-2007-6243/
   [5] http://secunia.com/cve_reference/CVE-2007-6637/
   [6] http://www.securitytracker.com/alerts/2008/Apr/1019807.html
   [7] http://crypto.stanford.edu/dns/dns-rebinding.pdf
   [8] http://www.adobe.com/go/getflash
이전 글 2008년 4월 Oracle의 Oracle Critical Patch Update 발표

2008. 04. 16
다음 글 [MS 보안업데이트]2008년 4월 MS 월간 보안업데이트 권고

2008. 04. 10

목록

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호

  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기
팝업닫기