작년 10월부터 지금까지 플래시 패치만 16번
[보안뉴스 문가용 기자] 어도비가 플래시 플레이어에 대한 긴급 취약점 패치를 배포하기 시작했다. 해당 취약점에 대한 익스플로잇은 이미 인터넷에 널리 퍼져있으며, 특히 윈도우 7, 8.1, 10에 대한 공격을 하기 위한 플래시 익스플로잇이 여럿 발견되기도 했다. 그렇다고 이번 패치가 윈도우에만 국한된 건 아니다. 윈도우, 리눅스, 매킨토시, 크롬 OS용 플래시 플레이어를 위한 업데이트가 이번 패치에 다 들어있다.
.jpg)
이번 취약점은 윈도우, 매킨토시, 크롬 OS용 어도비 플래시 플레이어 23.0.0.185 및 그 이전 버전과 리눅스용 플래시 플레이어 11.2.202.637 및 그 이전 버전에서 발견된 UaF(use-after-free) 취약점으로 ‘치명적으로 위험하다’는 등급을 받았다. 익스플로잇 될 경우 공격자가 사용자 모르게 원격에서 임의의 코드를 실행할 수 있게 해주기 때문이다.
웹 애플리케이션 보안 프로젝트인 OWASP에 의하면 UaF 오류란 메모리 공간 일부가 메모리 사용 후 데이터 삭제 등으로 비는 때 발생하는 취약점이다. 이 취약점을 익스플로잇 하면 데이터를 조작할 수 있기도 하고 시스템을 작동 불능 상태로 만들어 놓을 수도 있다. 이 취약점은 구글의 위협 분석 그룹(Threat Analysis Group)의 보안 전문가인 닐 메타(Neel Mehta)와 빌리 레오나드(Billy Leonard)가 발견했다고 어도비는 공식 발표했다.
어도비가 긴급 패치를 내놓는 일은 매우 흔하다. 지난 몇 년 동안에도 플래시 플레이어를 비롯한 자사 제품에 대한 긴급 패치를 꾸준히 발표하고 배포했다. 그러면서 플래시 플레이어가 취약점 부자 소프트웨어의 대명사로 부상하는 불명예를 겪기도 했다. 2015년 10월부터 해서 어도비는 플래시 플레이어의 취약점 때문에만 16개의 업데이트를 발표했다. 물론 이중엔 긴급 패치도 포함되어 있다.
얼마 전 시만텍은 인터넷 보안 위협 보고서(Internet Security Threat Report)를 발표하며 2015년 한 해 가장 많이 익스플로잇 된 취약점 5개 중 4개가 플래시 플레이어에서 발견된 것이라고 말했다. 또한 2015년 발견된 모든 취약점들 중 17%가 어도비 플래시에서 나온 것이었다. 이 17이라는 숫자는 전년도 50%와 그 전년도의 22%에 비하면 상당히 발전한 것이라고 시만텍은 평가했다.
그래서 얼마 전 구글, 모질라, 애플 등은 어도비 플래시의 위험성에 대해 성토하며 자신들이 만드는 브라우저들이 플래시와 호환되지 않도록 기본 옵션 설정을 해놓겠다고 발표했다. 구글은 이와 같은 플래시 배제 조치를 올해부터 시행할 예정이라고까지 말했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 어도비가 플래시 플레이어에 대한 긴급 취약점 패치를 배포하기 시작했다. 해당 취약점에 대한 익스플로잇은 이미 인터넷에 널리 퍼져있으며, 특히 윈도우 7, 8.1, 10에 대한 공격을 하기 위한 플래시 익스플로잇이 여럿 발견되기도 했다. 그렇다고 이번 패치가 윈도우에만 국한된 건 아니다. 윈도우, 리눅스, 매킨토시, 크롬 OS용 플래시 플레이어를 위한 업데이트가 이번 패치에 다 들어있다.
이번 취약점은 윈도우, 매킨토시, 크롬 OS용 어도비 플래시 플레이어 23.0.0.185 및 그 이전 버전과 리눅스용 플래시 플레이어 11.2.202.637 및 그 이전 버전에서 발견된 UaF(use-after-free) 취약점으로 ‘치명적으로 위험하다’는 등급을 받았다. 익스플로잇 될 경우 공격자가 사용자 모르게 원격에서 임의의 코드를 실행할 수 있게 해주기 때문이다.
웹 애플리케이션 보안 프로젝트인 OWASP에 의하면 UaF 오류란 메모리 공간 일부가 메모리 사용 후 데이터 삭제 등으로 비는 때 발생하는 취약점이다. 이 취약점을 익스플로잇 하면 데이터를 조작할 수 있기도 하고 시스템을 작동 불능 상태로 만들어 놓을 수도 있다. 이 취약점은 구글의 위협 분석 그룹(Threat Analysis Group)의 보안 전문가인 닐 메타(Neel Mehta)와 빌리 레오나드(Billy Leonard)가 발견했다고 어도비는 공식 발표했다.
어도비가 긴급 패치를 내놓는 일은 매우 흔하다. 지난 몇 년 동안에도 플래시 플레이어를 비롯한 자사 제품에 대한 긴급 패치를 꾸준히 발표하고 배포했다. 그러면서 플래시 플레이어가 취약점 부자 소프트웨어의 대명사로 부상하는 불명예를 겪기도 했다. 2015년 10월부터 해서 어도비는 플래시 플레이어의 취약점 때문에만 16개의 업데이트를 발표했다. 물론 이중엔 긴급 패치도 포함되어 있다.
얼마 전 시만텍은 인터넷 보안 위협 보고서(Internet Security Threat Report)를 발표하며 2015년 한 해 가장 많이 익스플로잇 된 취약점 5개 중 4개가 플래시 플레이어에서 발견된 것이라고 말했다. 또한 2015년 발견된 모든 취약점들 중 17%가 어도비 플래시에서 나온 것이었다. 이 17이라는 숫자는 전년도 50%와 그 전년도의 22%에 비하면 상당히 발전한 것이라고 시만텍은 평가했다.
그래서 얼마 전 구글, 모질라, 애플 등은 어도비 플래시의 위험성에 대해 성토하며 자신들이 만드는 브라우저들이 플래시와 호환되지 않도록 기본 옵션 설정을 해놓겠다고 발표했다. 구글은 이와 같은 플래시 배제 조치를 올해부터 시행할 예정이라고까지 말했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
