2016.03.11

플래시 플레이어, 이미 악용되고 있는 취약점 등 18개의 심각한 취약점 긴급 패치

Lucian Constantin | CIO
어도비시스템즈는 18개의 심각한(critical) 취약점을 해결하기 위해 플래시 플레이어의 새로운 버전을 발표했다. 이번에 패치된 취약점은 이미 공격자들에 의해 사용되고 있는 1개의 결함을 포함해 컴퓨터를 탈취하는데 악용될 수 있다.


어도비는 한 보안 권고에서 "CVE-2016-1010 익스플로잇은 표적 공격에 제한적으로 사용되고 있다"고 경고했다.

이 결함은 힙 오버플로우(heap overflow)에서 발생했으며 이를 발견한 카스퍼스키 랩 연구원들이 어도비에게 알려준 것이다. 카스퍼스키 랩은 이번 취약점이 악용된 표적 공격에 대한 추가 질문에 답변하지 않았다.

어도비는 사용자들에게 윈도우 및 맥용 플래시 플레이어 설치 버전 21.0.0.182
리눅스용 버전 11.2.202.577으로 업그레이드 할 것을 충고했다. 또한 플래시 플레이어의 확장 지원 릴리스는 18.0.0.133 버전으로 업데이트됐다.

구글 크롬, 인터넷 익스플로러, 마이크로소프트 엣지에 내장된 플래시 플레이어 플러그인은 해당 브라우저 업데이트 메커니즘을 통해 자동적으로 업데이트됐다. 또한 어도비는 플래시 플레이어에 포함되어 있는 AIR 데스크톱 런타임(Desktop Runtime), AIR SDK, AIR SDK & Compiler, 그리고 안드로이드용 AIR 버전 21.0.0.176를 내놓았다.

플래시 플레이어 취약점들은 일반적으로 웹 기반의 드라이브 바이 다운로드(drive-by download) 공격의 표적이 되고 있다.

사용자들은 플래시와 같은 플러그인 기반의 콘텐츠를 실행하기 전에 확인을 요구하도록 자신의 브라우저 설정을 해놓아야 한다. 이 기능은 클릭해야만 실행하도록 하는, 일반적으로 클릭 투 플레이(click-to-play)라고도 한다. editor@itworld.co.kr


2016.03.11

플래시 플레이어, 이미 악용되고 있는 취약점 등 18개의 심각한 취약점 긴급 패치

Lucian Constantin | CIO
어도비시스템즈는 18개의 심각한(critical) 취약점을 해결하기 위해 플래시 플레이어의 새로운 버전을 발표했다. 이번에 패치된 취약점은 이미 공격자들에 의해 사용되고 있는 1개의 결함을 포함해 컴퓨터를 탈취하는데 악용될 수 있다.


어도비는 한 보안 권고에서 "CVE-2016-1010 익스플로잇은 표적 공격에 제한적으로 사용되고 있다"고 경고했다.

이 결함은 힙 오버플로우(heap overflow)에서 발생했으며 이를 발견한 카스퍼스키 랩 연구원들이 어도비에게 알려준 것이다. 카스퍼스키 랩은 이번 취약점이 악용된 표적 공격에 대한 추가 질문에 답변하지 않았다.

어도비는 사용자들에게 윈도우 및 맥용 플래시 플레이어 설치 버전 21.0.0.182
리눅스용 버전 11.2.202.577으로 업그레이드 할 것을 충고했다. 또한 플래시 플레이어의 확장 지원 릴리스는 18.0.0.133 버전으로 업데이트됐다.

구글 크롬, 인터넷 익스플로러, 마이크로소프트 엣지에 내장된 플래시 플레이어 플러그인은 해당 브라우저 업데이트 메커니즘을 통해 자동적으로 업데이트됐다. 또한 어도비는 플래시 플레이어에 포함되어 있는 AIR 데스크톱 런타임(Desktop Runtime), AIR SDK, AIR SDK & Compiler, 그리고 안드로이드용 AIR 버전 21.0.0.176를 내놓았다.

플래시 플레이어 취약점들은 일반적으로 웹 기반의 드라이브 바이 다운로드(drive-by download) 공격의 표적이 되고 있다.

사용자들은 플래시와 같은 플러그인 기반의 콘텐츠를 실행하기 전에 확인을 요구하도록 자신의 브라우저 설정을 해놓아야 한다. 이 기능은 클릭해야만 실행하도록 하는, 일반적으로 클릭 투 플레이(click-to-play)라고도 한다. editor@itworld.co.kr


X