바람 잘 날 없는 어도비, 36개 취약점 보안 업데이트 발표

Adobe Flash Player 신규 취약점 등 보안 업데이트 권고

[보안뉴스 민세아] 어도비(Adobe)는 플래시 플레이어(Flash Player)에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다.

해당 보안 업데이트는 임의코드 실행으로 이어질 수 있는 Type Confusion 취약점과 Use-After-Free 취약점 등을 포함한 36개 취약점에 대한 업데이트다.

낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트하는 것이 안전하다.

[보안 취약점 상세 목록]
- 임의코드 실행으로 이어질 수 있는 Type confusion 취약점(CVE-2016-4144, CVE-2016-4149)
- 임의코드 실행으로 이어질 수 있는 Use-Ater-Free 취약점(CVE-2016-4142, CVE-2016-4143, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148)
- 임의코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2016-4135, CVE-2016-4136, CVE-2016-4138)
- 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4137, CVE-2016-4141, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171)
- 디렉토리 검색 경로가 취약하여 임의코드 실행이 가능한 취약점(CVE-2016-4140)
- same-origin-policy 우회 및 정보 누출 취약점(CVE-2016-4139)

▲영향 받는 소프트웨어

이에 따라 윈도우즈, 맥 환경의 어도비 플래시 플레이어 desktop runtime 사용자는 22.0.0.192 버전으로, Extended Support Release 사용자는 18.0.0.360 버전으로, 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.626 버전으로 업데이트를 적용하면 된다.

윈도우즈(Windows) 10 및 윈도우즈 8.1에서 구글 크롬, 마이크로 dpt지(Microsoft Edge), 인터넷 익스플로러(IE)에 어도비 플래시 플레이어를 설치한 사용자는 자동으로 최신 업데이트가 적용된다. 그 외 사용자는 Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문해 최신 버전을 설치하면 된다.

이와 관련한 자세한 사항은 아래의 참고사이트를 확인하거나 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 문의하면 된다.

[참고사이트]
https://helpx.adobe.com/security/products/flash-player/apsb16-18.html

[용어 정리]
Use-After-Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)해 발생하는 취약점
[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)