울지않는벌새 : Security, Movie & Society

업데이트 : Adobe Flash Player 13.0.0.206

벌새::Security

Adobe 업체에서 제공하는 Adobe Flash Player 제품의 제로데이(0-Day) 보안 취약점(CVE-2014-0515) 문제를 해결한 Adobe Flash Player 13.0.0.206 버전이 업데이트 되었습니다.

 

  <Adobe Security Bulletin> Security updates available for Adobe Flash Player : APSB14-13 (2014.4.28)

 

  <Kaspersky SecureList Blog> New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks (2014.4.28)

 

이번 긴급 보안 업데이트에서는 Kaspersky 보안 업체를 통해 보고되었으며 KSN(Kaspersky Security Network) 기준으로 2014년 4월 초중순경에 시리아 정부에 대한 비판 사이트를 변조하여 웹 사이트 접속자를 대상으로 사이버 공격이 이루어졌다고 합니다.

 

공개된 정보에 따르면 비디오와 이미지 처리를 위한 Pixel Bender 구성 요소에 존재하는 취약점(CVE-2014-0515)을 이용하여 Windows 운영 체제에 설치된 Adobe Flash Player 제품의 알려지지 않은 SWF 취약점을 통해 악성코드가 유포되었다고 합니다.

 

해당 사이버 공격은 2회에 걸쳐 특정 웹 사이트를 방문하는 사용자가 movie.swf, include.swf 악성 파일에 노출되어 성공적으로 Exploit이 이루어지면 쉘코드 실행을 통한 임의의 코드 실행이 가능하였습니다.

  • CVE-2014-0515 : These updates resolve a buffer overflow vulnerability that could result in arbitrary code execution.
[영향을 받는 소프트웨어 및 업데이트 버전]

 

□ Adobe Flash Player 13.0.0.182 버전 및 하위 버전(Windows) → Adobe Flash Player 13.0.0.206 버전

 

□ Adobe Flash Player 13.0.0.201 버전 및 하위 버전(Macintosh) → Adobe Flash Player 13.0.0.206 버전

 

□ Adobe Flash Player 11.2.202.350 버전 및 하위 버전(Linux) → Adobe Flash Player 11.2.202.356 버전

 

※ Windows, Macintosh, Linux 운영 체제용 구글 크롬(Google Chrome) 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → Chrome 정보) 기능을 Google Chrome 34.0.1847.131 버전으로 업데이트를 하시면 자체 내장된 "Adobe Flash Player 12.0.0.182 버전 → Adobe Flash Player 13.0.0.206 버전"으로 업데이트가 이루어집니다.

 

※ Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전 웹 브라우저 사용자는 Windows Update 자동 업데이트 기능을 통해 "Adobe Flash Player 12.0.0.182 → Adobe Flash Player 13.0.0.206 버전"으로 업데이트가 이루어집니다.

 

그러므로 모든 사용자는 Adobe Flash Player 제품에서 제공하는 자동 업데이트 또는 제작사에서 제공하는 수동 설치 파일을 통해 최신 버전으로 업데이트 하시기 바랍니다.