Adobe 제품군 신규 취약점 보안 업데이트 권고

Security Notice

Adobe 제품군 신규 취약점 보안 업데이트 권고

개요

  • Adobe社는 Flash Player, Adobe Reader/Acrobat 및 ColdFusion에서 발생하는 취약점을 해결한 보안
    업데이트를 발표[1][2][3]
  • 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

설명

  • Adobe Flash Player의 6개 취약점에 대한 보안 업데이트를 발표[1]
          · 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-0587, CVE-2014-9164)
          · 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8443)
          · 임의코드 실행으로 이어질 수 있는 스택오버플로우 취약점(CVE-2014-9163)
          · 정보 노출 취약점(CVE-2014-9162)
          · 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-0580)
  • Adobe Reader/Acrobat의 20개 취약점에 대한 보안 업데이트를 발표[2]
          · 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8454, CVE-2014-8455, CVE-
            2014-9165)
          · 임의코드 실행으로 이어질 수 있는 힙오버플로우 취약점(CVE-2014-8457, CVE-2014-8460,
            CVE-2014-9159)
          · 임의코드 실행으로 이어질 수 있는 정수오버플로우 취약점(CVE-2014-8449)
          · 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-8445, CVE-2014-8446, CVE-2014-
            8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158)
          · 임의의 파일을 생성할 수 있는 경쟁 상태(Race condition) 취약점(CVE-2014-9150)
          · 자바스크립트 API의 부적절한 구현을 이용한 정보 노출 취약점(CVE-2014-8448, CVE-2014-8451)
          · XML 외부 개체 참조를 이용한 정보 노출 취약점(CVE-2014-8452)
          · 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-8453)
  • Adobe ColdFusion의 1개 취약점에 대한 보안 업데이트를 발표[3]
          · 서비스 거부 취약점(CVE-2014-9166)

 

영향 받는 소프트웨어

  • Adobe Flash Player
소프트웨어 명영향 받는 버전동작환경
Adobe Flash Player Desktop Runtime15.0.0.239 및 이전버전Windows and Macintosh
Adobe Flash Player Extended Support Release13.0.0.258 및 이전버전Windows and Macintosh
Adobe Flash Player for Google Chrome 15.0.0.239 및 이전버전 (Windows)
15.0.0.242 및 이전버전 (Macintosh)
Windows, Macintosh and Linux
Adobe Flash Player for Internet Explorer 10
and Internet Explorer 11
15.0.0.239 및 이전버전Windows 8.0 and 8.1
Adobe Flash Player11.2.202.424 및 이전버전Linux
  • Adobe Reader/Acrobat
소프트웨어 명영향 받는 버전동작환경
Adobe Reader
 
11.0.10Windows and Macintosh
10.1.13Windows and Macintosh
Adobe Acrobat
 
11.0.10Windows and Macintosh
10.1.13Windows and Macintosh
  • Adobe ColdFusion
소프트웨어 명영향 받는 버전동작환경
ColdFusion11 및 10모든 플랫폼


해결 방안

 

용어 정리

  • Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를
    계속 참조(사용)하여 발생하는 취약점
  • 정수 오버플로우 : 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점
  • 동일 출처 정책(same origin policy) : 특정 도메인에서 로드된 자바스크립트는 다른 도메인의 페이지 및
    데이터에 접근할 수 없게 하는 보호 매커니즘

 

기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]
[1] http://helpx.adobe.com/security/products/flash-player/apsb14-27.html
[2] http://helpx.adobe.com/security/products/reader/apsb14-28.html
[3] http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html

0 변경된 사항