개요

• Adobe社는 Flash Player, Adobe Reader/Acrobat 및 ColdFusion에서 발생하는 취약점을 해결한 보안
  업데이트를 발표[1][2][3]
• 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

설명

• Adobe Flash Player의 6개 취약점에 대한 보안 업데이트를 발표[1]
        · 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-0587, CVE-2014-9164)
        · 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8443)
        · 임의코드 실행으로 이어질 수 있는 스택오버플로우 취약점(CVE-2014-9163)
        · 정보 노출 취약점(CVE-2014-9162)
        · 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-0580)
• Adobe Reader/Acrobat의 20개 취약점에 대한 보안 업데이트를 발표[2]
        · 임의코드 실행으로 이어질 수 있는 ‘user-after-free’ 취약점(CVE-2014-8454, CVE-2014-8455, CVE-
          2014-9165)
        · 임의코드 실행으로 이어질 수 있는 힙오버플로우 취약점(CVE-2014-8457, CVE-2014-8460,
          CVE-2014-9159)
        · 임의코드 실행으로 이어질 수 있는 정수오버플로우 취약점(CVE-2014-8449)
        · 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2014-8445, CVE-2014-8446, CVE-2014-
          8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158)
        · 임의의 파일을 생성할 수 있는 경쟁 상태(Race condition) 취약점(CVE-2014-9150)
        · 자바스크립트 API의 부적절한 구현을 이용한 정보 노출 취약점(CVE-2014-8448, CVE-2014-8451)
        · XML 외부 개체 참조를 이용한 정보 노출 취약점(CVE-2014-8452)
        · 동일 출처 정책(same origin policy)을 우회할 수 있는 취약점(CVE-2014-8453)
• Adobe ColdFusion의 1개 취약점에 대한 보안 업데이트를 발표[3]
        · 서비스 거부 취약점(CVE-2014-9166)

영향 받는 소프트웨어

• Adobe Flash Player

• Adobe Reader/Acrobat

• Adobe ColdFusion

해결 방안

• Adobe Flash Player 사용자
  - 윈도우즈, 맥 환경의 Adobe Flash Player desktop runtime  사용자는  16.0.0.235버전으로 업데이트 적용
        · Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을
         설치하거나, 자동 업데이트를 이용하여 업그레이드
  - Adobe Flash Player Extended Support Release 사용자는  13.0.0.259 버전으로 업데이트 적용
  - 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.245 버전으로 업데이트 적용
  - 구글 크롬 및 윈도우 8.x 버전의 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는 자동으로 최신
     업데이트가 적용
• Adobe Reader 사용자
  - [메뉴]→[도움말]→[업데이트확인]을 이용하여 업그레이드하거나 아래의 사이트에 방문하여 최신버전 설치
        · 윈도우 환경의 Adobe Reader 사용자
          http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
        · 맥 환경의 Adobe Reader 사용자
         http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
• Adobe Acrobat 사용자
  - [메뉴]→[도움말]→[업데이트확인]을 이용하여 업그레이드하거나 아래의 사이트에 방문하여 최신버전 설치
        · 윈도우 환경의 Adobe Reader 사용자
          http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
        · 맥 환경의 Adobe Reader 사용자
         http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
• Adobe ColdFusion 사용자
  - 다음과 같은 Adobe ColdFusion Help 문서를 참조하여 보안업데이트 적용
        · ColdFusion 11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-3.html
        · ColdFusion 10: http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-15.html

용어 정리

• Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를
  계속 참조(사용)하여 발생하는 취약점
• 정수 오버플로우 : 허용된 정수 값보다 더 큰 값을 처리할 때 프로그램이 예기치 않게 동작하는 보안 취약점
• 동일 출처 정책(same origin policy) :　특정 도메인에서 로드된 자바스크립트는 다른 도메인의 페이지 및
  데이터에 접근할 수 없게 하는 보호 매커니즘

기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://helpx.adobe.com/security/products/flash-player/apsb14-27.html
[2] http://helpx.adobe.com/security/products/reader/apsb14-28.html
[3] http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html