Adobe Flash Player 다중 취약점 보안업데이트 권고

 Adobe Flash Player 다중 취약점 보안업데이트 권고
 
 2008/04/11
 

자료제공 : 한국정보보호진흥원 인터넷침해사고대응지원센터(KRCERT)
 
내용 
 □ 개요
   o Adobe Flash Player의 특정 보안 제한을 우회하거나, 크로스 사이트 스크립트 공격 또는
     사용자의 시스템을 제어 가능한 다수의 취약점이 발표됨[1].
   o 낮은 버전의 Adobe Flash Player 사용으로 인한 악성코드 감염 등의 사고가 발생할 수 있으므로
     사용자의 주의 및 최신버전 설치를 권고.

□ 취약 대상
   o Adobe Flash Player 9.0.115.0 이하 버전 (모든 운영체제에 해당)

□ 취약점 설명
   o Adobe Flash Player 취약점 총 6건이 아래와 같이 발표됨[2]
     ① "Declare Function (V7)" 태그를 처리하는 과정에서 특별하게 조작된 플래그에 의해 힙
         오버플로우가 발생하는 취약점 (CVE-2007-6019)
     ② 멀티미디어 파일을 처리하는 과정에서 정수형 오버플로우로 인한 버퍼 오버플로우가 발생하여
         임의의 코드를 실행할 수 있는 취약점 (CVE-2007-0071)     
     ③ 호스트 이름을 한 IP 주소로 고정시킬 때 발생하는 오류를 이용하여 DNS rebinding 공격[7]이
         가능한 취약점[3] (CVE-2007-5275)(CVE-2008-1655)
     ④ HTTP 헤더를 보낼 때 오류로 크로스 도메인 정책 파일을 우회하여 크로스 사이트 요청 변조
         공격이 가능한 취약점[6] (CVE-2008-1654)
     ⑤ 크로스 도메인 정책 파일의 사용과 해석의 제한이 충분하지 않아서, 원격에서 크로스 도메인
         또는 크로스 사이트 스크립트 공격이 가능한 취약점[4] (CVE-2007-6243)
     ⑥ 입력 값 처리의 오류로 인해 조작된 SWF 파일을 통해 스크립트나 HTML을 삽입할 수 있는
         다수의 크로스 사이트 스크립트 취약점[5] (CVE-2007-6637)

 □ 영향
   o 상기 취약점을 이용하여 공격자는 조작된 SWF 파일이 포함된 웹 페이지를 방문하는 피해자의
      PC에서 악성 스크립트를 실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음.

 □ 해결방안
   o Adobe Flash Player 9.0.115.0 이하 버전의 사용자는 9.0.124.0 버전으로 업그레이드 할 것을
      권고함.
      - 플레이어 다운로드 센터[8]에서 동의 및 설치 선택.
        (※ 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치전 확인 필요)

   o Flash 컨텐츠를 사용하는 웹서버 관리자는 아래와 같이 웹페이지를 수정하여
      이용자들이 최신버전 Flash Player를 설치하도록 ActiveX 버전 수정 필요
    

   o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을
      준수해야 함.
      - 신뢰되지 않은 웹사이트의 플래시 파일 다운로드 주의
      - 의심되는 이메일에 포함된 플래시 파일 링크를 방문하지 않음
      - 개인방화벽과 백신제품의 사용 등

□ 용어 정리
   o Adobe Flash Player: Adobe Flash나 Adobe Flex 등에서 생성한 SWF 파일을 구동하는 프로그램
   o SWF(Shockwave Flash): Macromedia社가 개발한 멀티미디어 및 벡터 그래픽 파일 형식으로
      주로 웹에서 사용됨
   o 크로스 사이트 스크립트 (XSS: Cross-Site Scripting): 공격자가 희생자의 브라우저에
      스크립트나 HTML을 삽입하여 세션을 가로채거나, 웹 사이트 변조, 악의적인 콘텐츠를 삽입하는
      공격 방법
   o 크로스 사이트 요청 변조 (CSRF: Cross-Site Request Forgery): 로그인한 피해자의 브라우저가
      의도하지 않은 요청을 보내도록 하여 피해자 대신 악의적인 행위를 수행하도록 만드는 공격 방법

□ 기타 문의사항
   o 한국정보보호진흥원 인터넷침해사고대응지원센터: 국번없이 118

□ 참고사이트
   [1] http://www.adobe.com/support/security/bulletins/apsb08-11.html
   [2] http://secunia.com/advisories/28083/
   [3] http://secunia.com/cve_reference/CVE-2007-5275/
   [4] http://secunia.com/cve_reference/CVE-2007-6243/
   [5] http://secunia.com/cve_reference/CVE-2007-6637/
   [6] http://www.securitytracker.com/alerts/2008/Apr/1019807.html
   [7] http://crypto.stanford.edu/dns/dns-rebinding.pdf
   [8] http://www.adobe.com/go/getflash