728x90
- 구글 보안 엔지니어 'Michele Spagnuolo'가 개인정보(계정정보)를 유출 할 수 있는 플래시 플레이어
취약점과 익스플로잇을 자신의 블로그에 공개하였으며, 이에 Adobe社가 긴급 보안 업데이트를 발표
주요내용
- 플래시 애니메이션 포맷인 SWF로 변경된 공격 소스코드가 플래시 플레이어에 의해 실행, 개인정보를 유출
- Michele Spagnuolo은 취약점을 증명하기 위해 ‘로제타 플래쉬’라는 도구를 개발
- 도구를 이용하여 악성 SWF를 만들 수 있으며, 만들어진 SWF 파일은 JSONP 콜백을 우회하고 임의 요청
수행이 가능
※ JSONP(JSON with padding) : 웹에서 자바스크립트로 통신하기 위한 기술로 scrtip 태그를 사용하여
크로스 도메인 데이터를 검색하는 구조 - Adobe社 7월 8일 플래시 플레이어에 대한 보안 업데이트 발표
- 플래시 플레이어를 사용하는 Windows, Mac, Linux 등 플랫폼별 업데이트 진행
< 제품별 업데이트 버전 >
[출처]
1. http://threatpost.com/apple-updates-osx-blacklist-following-flash-vulnerability/107169
2. http://threatpost.com/adobe-patches-flash-vulnerability-exploited-by-rosetta-flash-tool/107066
3. http://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/
4. http://helpx.adobe.com/security/products/flash-player/apsb14-17.html
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 월 스트리트저널, 데이터베이스 해킹 (0) | 2014.07.27 |
|---|---|
| Unisys社, 주요 기반시설 보안의 위험인지와 비지니스 극명한 차이 발생 (0) | 2014.07.26 |
| 새로운 유형의 안드로이드 악성코드 'HijackRAT' (0) | 2014.07.26 |
| 금융정보탈취 악성코드 Shylock (0) | 2014.07.26 |
| 소포스, 신종 Gameover 악성코드 발견 (0) | 2014.07.26 |