□ 개요
o Adobe社는 Adobe Flash Player, Acrobat, Reader, Experience Manager, Digital Edition에 영향을 주는 취약점을
해결한 보안 업데이트를 발표
o 낮은 버전의 사용자는 악성코드 감염 등에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트 권고
□ 설명
o Adobe Flash Player의 2개 취약점에 대한 보안 업데이트 발표 [1]
- 정보 노출로 이어질 수 있는 보안 기능 우회 취약점(CVE-2017-3085)
- 원격 코드 실행으로 이어질 수 있는 Type Confusion 취약점(CVE-2017-3106)
o Adobe Acrobat DC 및 Acrobat Reader의 67개 취약점에 대한 보안 업데이트 발표 [2]
- 데이터 무결성에 대한 검증 미흡으로 인해 발생하는 정보 노출 취약점(CVE-2017-3115)
- 정보 노출로 이어질 수 있는 메모리 손상 취약점(CVE-2017-3122, CVE-2017-11209, CVE-2017-11210,
CVE-2017-11217, CVE-2017-11230, CVE-2017-11233, CVE-2017-11236, CVE-2017-11238,
CVE-2017-11239, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245,
CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11252, CVE-2017-11255,
CVE-2017-11258, CVE-2017-11265)
- 보안 기능 우회로 인해 발생하는 정보 노출 취약점(CVE-2017-3118)
- 정보 노출로 이어질 수 있는 Use-After-Free 취약점(CVE-2017-11232)
- 원격 코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2017-3117, CVE-2017-3121, CVE-2017-11211,
CVE-2017-11220, CVE-2017-11241)
- 원격 코드 실행으로 이어질 수 있는 보안 기능 우회 취약점(CVE-2017-11229)
- 원격 코드 실행으로 이어질 수 있는 Type Confusion 취약점(CVE-2017-11221, CVE-2017-11257)
- 원격 코드 실행으로 이어질 수 있는 Use-After-Free 취약점(CVE-2017-3113, CVE-2017-3120,
CVE-2017-11218, CVE-2017-11219, CVE-2017-11223, CVE-2017-11224, CVE-2017-11231,
CVE-2017-11235, CVE-2017-11254, CVE-2017-11256)
o Adobe Experience Manager의 3개 취약점에 대한 보안 업데이트 발표 [3]
- 제품의 버전 정보가 노출되는 정보 노출 취약점(CVE-2017-3107)
- 파일 업로드 시 파일 확장자에 대한 필터링 미흡으로 인한 임의 코드 실행 취약점(CVE-2017-3108)
- 내부 정보가 제품의 결과가 출력되는 정보 노출 취약점(CVE-2017-3110)
o Adobe Digital Editions의 9개 취약점에 대한 보안 업데이트 발표 [4]
- 원격 코드 실행으로 이어질 수 있는 버퍼 오버플로우 취약점(CVE-2017-11274)
- 메모리 주소가 노출되는 메모리 손상 취약점(CVE-2017-3091, CVE-2017-11275, CVE-2017-11276,
CVE-2017-11277, CVE-2017-11278, CVE-2017-11279, CVE-2017-11280)
- XXE 요청을 파싱하는 과정에서 발생하는 정보 노출 취약점(CVE-2017-11272)
□ 영향을 받는 제품
o Adobe Flash Player
| 소프트웨어 명 | 동작환경 | 영향 받는 버전 |
| Adobe Flash Player Desktop Runtime | Windows, Mac, Linux | 26.0.0.137 및 이전 버전 |
| Adobe Flash Player for Google Chrome | Windows, Mac, Linux, Chrome OS | 26.0.0.137 및 이전 버전 |
| Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | Windows 10, 8.l1 | 26.0.0.137 및 이전 버전 |
o Adobe Acrobat 및 Reader
| 소프트웨어 명 | 동작환경 | 영향 받는 버전 |
| Acrobat DC (Continuous Track) | Windows, Mac | 2017.009.20058 및 이전 버전 |
| Acrobat Reader DC (Continuous Track) | Windows, Mac | 2017.009.20058 및 이전 버전 |
| Acrobat 2017 | Windows, Mac | 2017.008.30051 및 이전 버전 |
| Acrobat Reader 201 | Windows, Mac | 2017.008.30051 및 이전 버전 |
| Acrobat DC (Classic Track) | Windows, Mac | 2015.006.30306 및 이전 버전 |
| Acrobat Reader DC (Classic Track) | Windows, Mac | 2015.006.30306 및 이전 버전 |
| Acrobat XI | Windows, Mac | 11.0.20 및 이전 버전 |
| Reader XI | Windows, Mac | 11.0.20 및 이전 버전 |
o Adobe Experience Manager
| 소프트웨어 명 | 동작환경 | 영향 받는 버전 |
| Adobe Experience Manager | All | 6.3, 6.2, 6.1, 6.0 |
o Adobe Digital Editions
| 소프트웨어 명 | 동작환경 | 영향 받는 버전 |
| Adobe Digital Editions | Windows, Mac, iOS, Android | 4.5.5 및 이전 버전 |
□ 해결 방안
o Adobe Flash Player 사용자
- 윈도우즈, 맥, 리눅스 환경의 Adobe Flash Player Desktop Runtime 사용자는 26.0.0.151 버전으로 업데이트 적용
※ Adobe Flash Player Download Center(https://get.adobe.com/flashplayer/)에 방문하여 최신 버전을
설치하거나 자동 업데이트를 이용하여 업그레이드
- Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
- Windows 10 및 Windows 8.1에서 Microsoft Edge, Internet Explorer 11에 Adobe Flash Player를 설치한
사용자는 자동으로 최신 업데이트가 적용
o Adobe Acrobat 사용자
- Windows, Mac 환경의 Adobe Acrobat 사용자는 해당하는 소프트웨어에 따라 최신 버전으로 업데이트 적용
- Adobe Acrobat Reader Download Center(https://get.adobe.com/kr/reader/)에 방문하여 최신 버전을
설치하거나, 자동 업데이트를 이용하여 업그레이드
| 소프트웨어 명 | 최신 버전 |
| Acrobat DC (Continuous Track) | 2017.012.20093 |
| Acrobat Reader DC (Continuous Track) | 2017.012.20093 |
| Acrobat 2017 | 2017.011.30059 |
| Acrobat Reader 201 | 2017.011.30059 |
| Acrobat DC (Classic Track) | 2015.006.30352 |
| Acrobat Reader DC (Classic Track) | 2015.006.30352 |
| Acrobat XI | 11.0.21 |
| Reader XI | 11.0.21 |
o Adobe Experience Manager 사용자
- Adobe Experience Manager 사용자는 아래 링크를 참고하여 업데이트 적용 [3]
o Adobe Digital Editions 사용자
- 윈도우즈, 맥, iOS, 안드로이드환경의 Adobe Digital Editions 사용자는 4.5.6 버전으로 업데이트 적용
※ 윈도우즈, 맥 다운로드 : https://www.adobe.com/solutions/ebook/digital-editions/download.html
※ iOS 다운로드 : https://itunes.apple.com/us/app/adobe-digital-editions/id952977781?mt=8
※ 안드로이드 다운로드 : https://play.google.com/store/apps/details?id=com.adobe.digitaleditions
□ 용어 정리
o Type Confusion 취약점 : 객체의 인스턴스가 타입을 혼동하여 나는 오류
o Use-After-Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속
참조(사용)하여 발생하는 취약점
o XXE(XML External Entity) : :XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티티를 사용하는 것
[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb17-23.html
[2] https://helpx.adobe.com/security/products/acrobat/apsb17-24.html
[3] https://helpx.adobe.com/security/products/experience-manager/apsb17-26.html
[4] https://helpx.adobe.com/security/products/Digital-Editions/apsb17-27.html
'취약점 정보2' 카테고리의 다른 글
| postgresql-9.6 security update (0) | 2017.08.16 |
|---|---|
| Apache Sling XSS vulnerability (0) | 2017.08.16 |
| ipTIME 유무선 공유기 7종 펌웨어 10.00.8 배포 (0) | 2017.08.10 |
| ipTIME 유무선 공유기 17종 펌웨어 10.00.6 배포 (0) | 2017.08.10 |
| 2017.07.18 배포한 패키지에 대한 긴급 업데이트 공지 (0) | 2017.08.07 |