Adobe Flash Player 다중 취약점 보안업데이트 권고

제목  :  Adobe Flash Player 다중 취약점 보안업데이트 권고 
 
 □ 개요
   o Adobe Flash Player가 제공하는 설정을 우회하거나, 크로스 사이트 스크립트 공격 또는
     사용자의 시스템을 제어 가능한 다수의 취약점이 발표됨[1]
   o 낮은 버전의 Adobe Flash Player 사용으로 악성코드 감염 등의 사고가 발생할 수 있음으로
     사용자의 주의 및 최신버전 설치가 권고됨

□ 해당프로그램
   o Adobe Flash Player 9.0.124.0 이하 버전(모든 운영체제에 해당)

□ 설명
   o Adobe Flash Player 취약점에 대한 패치(총 5건)가 아래와 같이 발표됨
     ① Adobe Flash Player를 이용하여 사용자 동의 없이 마우스 클릭 이벤트를 제어하는 클릭재킹
        취약점[2](CVE-2008-4503)
     ② Adobe Flash Player가 크로스 도메인 정책 파일을 처리하는 과정에서 발생하는 권한 상승
        취약점[3](CVE-2007-6243)
     ③ Adobe Flash Player가 ActionScript를 처리하는 과정에서 발생하는 포트 스캐닝 취약점[4]
        (CVE-2007-4324)
     ④ Adobe Flash Player에서 제공하는 ActionScript의 System.setClipboard 함수를 이용하여
        클립보드에 원하는 컨텐츠(예: URL)를 삽입하는 취약점[5](CVE-2008-3873)
     ⑤ Adobe Flash Player에서 제공하는 ActionScript의 FileReference.browse() 함수와 File
        Reference.download() 함수가 사용자 동의없이 실행되어 사용자 모르게 파일이 다운로드 혹은
        업로드되는 취약점[6](CVE-2008-4401)
                      
   o 상기 취약점을 이용하여 공격자는 SWF 파일을 조작하여 피해자의 PC에 악성 스크립트를 실행
     시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있음.

□ 해결방안
   o Adobe Flash Player 9.0.124.0버전 이하의 사용자는 취약하지 않은 10.0.12.36버전으로 업데이트
     할 것을 권고함
     - 플레이어 다운로드 센터[7]에서 동의 및 설치 선택.
       (※ 구글 툴바 추가 설치가 기본으로 설정되어 있으니 설치전 확인 필요)

   o Adobe Flash 컨텐츠를 사용하는 웹서버 관리자는 아래와 같이 웹페이지를 수정하여 이용자들이
     최신버전 Adobe Flash Player를 설치하도록 ActiveX 버전 수정 필요   
 

  o 향후에도 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 브라우징 습관을 준수
    해야 함.
      - 신뢰되지 않은 웹사이트의 플래시 파일 다운로드 주의
      - 의심되는 이메일에 포함된 플래시 파일 링크를 방문하지 않음
      - 개인방화벽과 백신제품 사용 등

□ 용어 정리
   o 크로스 도메인 정책 파일 : 다른 도메인의 서버가 인증 절차 없이 Adobe Flash Player에 접근할
     수 있도록 권한 정책을 기술한 crossdomain.xml파일[8]
   o 클립보드 : Ctrl+C 혹은 복사하기를 선택할 때 임시적으로 데이터가 저장되는 컴퓨터 메모리
     영역[9]
   o ActionScript : Adobe Flash Player를 사용하는 웹사이트와 소프트웨어를 개발할때 이용되는
     스크립트[10]

□ 기타 문의사항
   o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118

□ 참고사이트
   [1] http://www.adobe.com/support/security/bulletins/apsb08-18.html
   [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4503
   [3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6243
   [4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4324
   [5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3873
   [6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4401
   [7] http://www.adobe.com/go/getflash
   [8] http://kb.adobe.com/selfservice/viewContent.do?externalId=tn_14213
   [9] http://en.wikipedia.org/wiki/Multiple_Clipboard
   [10] http://en.wikipedia.org/wiki/ActionScript

제공 : 인터넷침해사고대응지원센터