에스지에이이피에스

공지사항

[보안공지] Adobe Flash Player 신규 취약점 보안 업데이트 권고

작성일: 2014-09-12

조회수: 7859

개요

Adobe社는 Adobe Flash Player에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1]
낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

설명

Adobe Flash Player에서 발생하는 12개의 취약점을 해결하는 보안 업데이트를 발표[1]
- 랜덤 메모리 주소 기능을 우회할 수 있는 메모리 정보 노출 취약점(CVE-2014-0557)
- 보안 기능을 우회할 수 있는 취약점(CVE-2014-0554)
- 임의코드 실행으로 이어질 수 있는 메모리 할당 해제(use-after-free) 취약점(CVE-2014-0553)
- 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-0547, CVE-2014-0549, CVE-2014-0550, CVE-2014-0551, CVE-2014-0552, CVE-2014-0555)
- 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-0548)
- 임의코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2014-0556, CVE-2014-0559)

해당 시스템

영향을 받는 소프트웨어

소프트웨어 명

동작환경

영향 받는 버전

Adobe Flash Player Desktop Runtime

윈도우즈 및 맥

14.0.0.179 및 이전버전

Adobe Flash Player Extended Support Release

윈도우즈 및 맥

13.0.0.241 및 이전버전

Adobe Flash Player for Google Chrome

윈도우즈, 맥, 리눅스

14.0.0.177 및 이전버전

Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11

윈도우즈8 Internet Explorer 10

14.0.0.176 및 이전버전

Adobe Flash Player

리눅스

11.2.202.400

Adobe AIR Desktop Runtime

윈도우즈 및 맥

14.0.0.178

Adobe AIR SDK

윈도우즈, 맥 및 iOS

14.0.0.178

Adobe AIR SDK

안드로이드

14.0.0.179

Adobe AIR SDK&Compiler

윈도우즈, 맥, iOS, 안드로이드

14.0.0.178

해결 방안

윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime 사용자는 15.0.0.152 버전으로 업데이트 적용
윈도우즈, 맥 환경의 Adobe Flash Player Extended Support Release 사용자는 13.0.0.244 버전으로 업데이트 적용
리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.406 버전으로 업데이트 적용
윈도우즈, 맥, 리눅스 환경의 Adobe Flash Player 보안 업데이트 적용방법
- Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나 자동 업데이트를 이용하여 업그레이드
구글 크롬, 인터넷 익스플로러 10 및 인터넷 익스플로러 11에 Adobe Flash Player를 설치한 사용자는 자동으로 최신 업데이트 적용
Adobe AIR desktop runtime, SDK 및 SDK&Compiler 사용자는 15.0.0.249 버전으로 업데이트 적용
- http://www.adobe.com/devnet/air/air-sdk-download.html에 방문하여 Adobe AIR SDK 또는 Adobe AIR SDK&Compiler 최신 버전을 설치
안드로이드 환경의 Adobe AIR 사용자는 15.0.0.252 버전으로 업데이트 적용
- Adobe AIR가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속 → 메뉴 선택 → 내 애플리케이션 선택 → Adobe AIR 안드로이드 최신 버전으로 업데이트 하거나 자동업데이트를 허용하여 업그레이드

용어 정리

메모리 할당 해제(use-after-free) 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)하여 발생하는 취약점
동일 출처 정책(same origin policy) :　특정 도메인에서 로드된 자바스크립트는 다른 도메인의 페이지 및 데이터에 접근할 수 없게 하는 보호 매커니즘
Adobe AIR(Adobe Integrated Runtime): HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여 브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는 환경을 제공하는 도구

기타 문의사항

한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://helpx.adobe.com/security/products/flash-player/apsb14-21.html

다음글

2014년 9월 MS 정기 보안업데이트 권고
이전글

마이크로소프트 8월 보안 업데이트 설치 장애 관련 공지

소프트웨어 명	동작환경	영향 받는 버전
Adobe Flash Player Desktop Runtime	윈도우즈 및 맥	14.0.0.179 및 이전버전
Adobe Flash Player Extended Support Release	윈도우즈 및 맥	13.0.0.241 및 이전버전
Adobe Flash Player for Google Chrome	윈도우즈, 맥, 리눅스	14.0.0.177 및 이전버전
Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11	윈도우즈8 Internet Explorer 10	14.0.0.176 및 이전버전
Adobe Flash Player	리눅스	11.2.202.400
Adobe AIR Desktop Runtime	윈도우즈 및 맥	14.0.0.178
Adobe AIR SDK	윈도우즈, 맥 및 iOS	14.0.0.178
Adobe AIR SDK	안드로이드	14.0.0.179
Adobe AIR SDK&Compiler	윈도우즈, 맥, iOS, 안드로이드	14.0.0.178