업데이트 : Adobe Flash Player 21.0.0.213

Adobe 업체에서 제공하는 웹 브라우저 상의 Flash 콘텐츠 재생을 위한 Adobe Flash Player 제품에서 발견된 24건의 보안 취약점 문제를 해결한 Adobe Flash Player 21.0.0.213 버전이 긴급 업데이트 되었습니다.

• <Adobe Security Bulletin> Security updates available for Adobe Flash Player : APSB16-10 (2016.4.7)

• <FireEye> CVE-2016-1019: A NEW FLASH EXPLOIT INCLUDED IN MAGNITUDE EXPLOIT KIT (2016.4.7)

2016년 4월 2일경부터 Magnitude Exploit Kit을 통해 CVE-2016-1019 Adobe Flash Player 제로데이(0-Day) 취약점을 이용하여 악의적으로 조작된 웹사이트 접속 시 자동으로 악성코드가 설치되는 유포 행위가 발견되었으며, 최초 Adobe Flash Player 21.0.0.197 최신 버전에서는 Exploit에 실패하였지만 공격자가 코드 수정을 통해 Adobe Flash Player 최신 버전에서도 성공적으로 코드 실행이 가능하도록 변경할 수 있었다는 점에서 긴급 패치를 배포하게 되었습니다.

 

특히 2016년 4월 7일경 국내 인터넷 사용자들도 CVE-2016-1019 취약점을 통해 Adobe Flash Player 최신 버전에서도 감염이 이루어질 수 있다는 정보와 이를 통해 Cerber 랜섬웨어(Ransomware) 감염이 이루어졌다고 합니다.

• CVE-2016-1006 : These updates harden a mitigation against JIT spraying attacks that could be used to bypass memory layout randomization mitigations.
• CVE-2016-1011, CVE-2016-1013, CVE-2016-1016, CVE-2016-1017, CVE-2016-1031 : These updates resolve use-after-free vulnerabilities that could lead to code execution.
• CVE-2016-1012, CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1032, CVE-2016-1033 : These updates resolve memory corruption vulnerabilities that could lead to code execution.
• CVE-2016-1014 : These updates resolve a vulnerability in the directory search path used to find resources that could lead to code execution.
• CVE-2016-1015, CVE-2016-1019 : These updates resolve type confusion vulnerabilities that could lead to code execution.
• CVE-2016-1018 : These updates resolve a stack overflow vulnerability that could lead to code execution.
• CVE-2016-1030 : These updates resolve a security bypass vulnerability.

[영향을 받는 소프트웨어 및 업데이트 버전]

 

□ Adobe Flash Player 21.0.0.197 버전 및 하위 버전(Windows, Macintosh) → Adobe Flash Player 21.0.0.213 버전

 

□ Adobe Flash Player Extended Support Release 18.0.0.333 버전 및 하위 버전(Windows, Macintosh) → Adobe Flash Player Extended Support Release 18.0.0.343 버전

 

□ Adobe Flash Player 11.2.202.577 버전 및 하위 버전(Linux) → Adobe Flash Player 11.2.202.616 버전

 

※ Windows, Macintosh, Linux, Chrome OS 운영 체제용 Chrome 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → 도움말 → Chrome 정보) 기능을 통해 Chrome 49.0.2623.112 버전으로 업데이트하시면 자체 내장된 PPAPI 기반 "Adobe Flash Player 21.0.0.197 버전 및 하위 버전 → Adobe Flash Player 21.0.0.213 버전"으로 업데이트가 이루어집니다.

 

※ Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전, Windows 10 운영 체제용 Internet Explorer 11 및 Microsoft Edge 웹 브라우저 사용자는 2016년 4월 정기 보안 업데이트(2016년 4월 13일)에 "Adobe Flash Player 21.0.0.182 버전 및 하위 버전 → Adobe Flash Player 21.0.0.213 버전"으로 업데이트가 이루어질 예정으로 추정됩니다.

만약 Windows 10 운영 체제용 Microsoft Edge 웹 브라우저 사용자는 Adobe Flash Player 21.0.0.213 버전으로 업데이트가 이루어질 때까지 고급 설정에서 Adobe Flash Player 사용을 OFF하시고 사용하시길 권장합니다.

 

또한 Adobe Flash Player 제품이 설치된 환경에서는 자동 업데이트 또는 수동 설치 파일을 이용하여 최신 버전으로 업데이트하시기 바라며, 다중 웹 브라우저 사용자는 각 웹 브라우저용 플러그인 업데이트 버전을 꼼꼼하게 점검하시기 바랍니다.