2017-08-10
▷ 개요
l
Adobe社는 Adobe Flash Player,
Acrobat, Reader, Experience Manager, Digital Edition에 영향을 주는 취약점을 해결한 보안
업데이트를 발표
l
낮은 버전의 사용자는 악성코드 감염 등에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업데이트 권고
▷ 설명
l
Adobe Flash Player의 2개
취약점에 대한 보안 업데이트 발표 [1]
- 정보 노출로 이어질 수 있는 보안 기능 우회 취약점 (CVE-2017-3085)
- 원격 코드 실행으로 이어질 수 있는 Type Confusion 취약점 (CVE-2017-3106)
l
Adobe Acrobat DC 및
Acrobat Reader의 67개 취약점에 대한 보안 업데이트 발표 [2]
- 데이터 무결성에 대한 검증 미흡으로 인해 발생하는
정보 노출 취약점 (CVE-2017-3115)
- 정보 노출로 이어질 수 있는 메모리 손상 취약점 (CVE-2017-3122,
CVE-2017-11209,
CVE-2017-11210, CVE-2017-11217, CVE-2017-11230,
CVE-2017-11233, CVE-2017-11236,
CVE-2017-11238, CVE-2017-11239, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244,
CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11252,
CVE-2017-11255, CVE-2017-11258, CVE-2017-11265)
- 보안 기능 우회로 인해 발생하는 정보 노출 취약점 (CVE-2017-3118)
- 정보 노출로
이어질 수 있는 Use-After-Free 취약점 (CVE-2017-11232)
- 원격 코드 실행으로
이어질 수 있는 힙 오버플로우 취약점 (CVE-2017-3117, CVE-2017-3121,
CVE-2017-11211, CVE-2017-11220, CVE-2017-11241)
- 원격 코드 실행으로 이어질 수 있는 보안 기능 우회 취약점
(CVE-2017-11229)
- 원격 코드 실행으로
이어질 수 있는 Type Confusion 취약점 (CVE-2017-11221,CVE-2017-11257)
- 원격 코드 실행으로
이어질 수 있는 Use-After-Free 취약점 (CVE-2017-3113,
CVE-2017-3120,
CVE-2017-11218, CVE-2017-11219,
CVE-2017-11223, CVE-2017-11224, CVE-2017-11231,
CVE-2017-11235, CVE-2017-11254,
CVE-2017-11256)
l
Adobe Experience Manager의 3개
취약점에 대한 보안 업데이트 발표 [3]
- 파일 업로드시 파일 확장자에 대한 필터링 미흡으로
인한 임의코드 실행 취약점 (CVE-2017-3108)
- 내부 정보가 제품의 결과가 출력되는 정보 노출 취약점 (CVE-2017-3110)
l
Adobe Digital Editions의 9개
취약점에 대한 보안 업데이트 발표 [4]
- 원격 코드 실행으로 이어질 수 있는 버퍼 오버플로우
취약점 (CVE-2017-11274)
- 메모리 주소가 노출되는 메모리 손상 취약점
(CVE-2017-3091, CVE-2017-11275,
CVE-2017-11276, CVE-2017-11277, CVE-2017-11278,
CVE-2017-11279, CVE-2017-11280)
- XXE 요청을 파싱하는 과정에서 발생하는 정보 노출
취약점 (CVE-2017-11272)
▷ 영향 받는
제품 및 버전
l
Adobe Flash Player
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
Adobe
Flash Player Desktop Runtime |
Windows,
Mac, Linux |
26.0.0.137
및 이전 버전 |
Adobe
Flash Player for Google Chrome |
Windows,
Mac, Linux, Chrome OS |
26.0.0.137
및 이전 버전 |
Adobe
Flash Player for Microsoft Edge and Internet Explorer 11 |
Windows
10, 8.l1 |
26.0.0.137
및 이전 버전 |
l
Adobe Acrobat 및 Reader
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
Acrobat
DC (Continuous Track) |
Windows,
Mac |
2017.009.20058
및 이전 버전 |
Acrobat
Reader DC (Continuous Track) |
Windows,
Mac |
2017.009.20058
및 이전 버전 |
Acrobat
2017 |
Windows,
Mac |
2017.008.30051
및 이전 버전 |
Acrobat
Reader 201 |
Windows,
Mac |
2017.008.30051
및 이전 버전 |
Acrobat
DC (Classic Track) |
Windows,
Mac |
2015.006.30306
및 이전 버전 |
Acrobat
Reader DC (Classic Track) |
Windows,
Mac |
2015.006.30306
및 이전 버전 |
Acrobat
XI |
Windows,
Mac |
11.0.20
및 이전 버전 |
Reader
XI |
Windows,
Mac |
11.0.20
및 이전 버전 |
l
Adobe Experience Manager
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
Adobe
Experience Manager |
All |
6.3,
6.2, 6.1, 6.0 |
l
Adobe Experience Manager
소프트웨어 명 |
동작환경 |
영향 받는 버전 |
Adobe
Digital Editions |
Windows,
Mac, iOS, Android |
4.5.5
및 이전 버전 |
l
Adobe Flash Player 사용자
- 윈도우즈, 맥, 리눅스
환경의 Adobe Flash Player Desktop Runtime 사용자는 26.0.0.151 버전으로
업데이트 적용 (Adobe Flash Player Download Center (https://get.adobe.com/flashplayer/)에
방문하여
최신 버전을
설치하거나 자동 업데이트를 이용하여 업그레이드)
- Adobe
Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트
버전 적용
- Windows 10 및
Windows 8.1에서 Microsoft Edge, Internet Explorer 11에 Adobe Flash Player를 설치한
사용자는 자동으로
최신 업데이트가 적용
l
Adobe Acrobat 사용자
- Windows, Mac 환경의 Adobe Acrobat 사용자는
해당 소프트웨어에 따라 최신 버전으로 업데이트 적용
- Adobe
Acrobat Reader Download Center(https://get.adobe.com/kr/reader/)에 방문하여
최신 버전을
설치하거나, 자동 업데이트를 이용하여 업그레이드
소프트웨어 명 |
최신 버전 |
Acrobat
DC (Continuous Track) |
2017.012.20093 |
Acrobat
Reader DC (Continuous Track) |
2017.012.20093 |
Acrobat
2017 |
2017.011.30059 |
Acrobat
Reader 201 |
2017.011.30059 |
Acrobat
DC (Classic Track) |
2015.006.30352 |
Acrobat
Reader DC (Classic Track) |
2015.006.30352 |
Acrobat
XI |
11.0.21 |
Reader
XI |
11.0.21 |
l
Adobe Experience Manager 사용자
-
Adobe Experience Manager 사용자는 아래 링크를 참고하여 업데이트 적용 [3]
l
Adobe Digital Editions 사용자
-
윈도우즈, 맥, iOS, 안드로이드환경의
Adobe Digital Editions 사용자는 4.5.6 버전으로 업데이트 적용
(윈도우즈, 맥
다운로드 :
https://www.adobe.com/solutions/ebook/digital-editions/download.html)
(iOS 다운로드 :
https://itunes.apple.com/us/app/adobe-digital-editions/id952977781?mt=8)
(안드로이드 다운로드 :
https://play.google.com/store/apps/details?id=com.adobe.digitaleditions)
▷ 용어 정리
l
Type Confusion 취약점 : 객체의 인스턴스가 타입을
혼동하여 나는 오류
l
Use-After-Free 취약점 : 소프트웨어 구현 시 동적
혹은 정적으로 할당된 메모리를 해제했음에도
불구하고 이를 계속 참조(사용)하여 발생하는 취약점
l
XXE(XML External Entity) : :XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티
티를 사용하는 것
▷ 참고 자료
- https://helpx.adobe.com/security/products/flash-player/apsb17-23.html
- https://helpx.adobe.com/security/products/acrobat/apsb17-24.html
-
https://helpx.adobe.com/security/products/experience-manager/apsb17-26.html
-
https://helpx.adobe.com/security/products/Digital-Editions/apsb17-27.html