릴리스 날짜: 2008년 4월 8일
취약점 식별자: APSB08-11
CVE 번호: CVE-2007-5275, CVE-2007-6243, CVE-2007-6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654
플랫폼: 모든 플랫폼
Adobe Flash Player에서 치명적인 취약점이 발견되었으며, 이 취약점 악용에 성공한 침입자는 해당 시스템을 제어할 수 있습니다. 사용자가 Flash Player를 통해 해로운 SWF 파일을 로드하게 되면 침입자가 이러한 취약점을 악용하게 됩니다. Adobe에서는 사용자가 해당 운영 체제에서 사용 가능한 최신 버전의 Flash Player로 업데이트할 것을 권장합니다.
이러한 향상된 보안 기능과 변경 사항이 기존의 Flash 컨텐츠에 영향을 미칠 수 있는 가능성이 있기 때문에 컨텐츠 개발자는 2008년 3월 Adobe 개발자 센터 기술문서*를 검토하여 변경 사항이 컨텐츠에 영향을 미치는지 여부를 확인하고 매끄러운 전환을 위해 필요한 변경 사항을 즉시 구현해야 합니다.
Adobe Flash Player 9.0.115.0 이전 버전 및 8.0.39.0 이전 버전
Adobe Flash Player 버전 번호를 확인하려면 Flash Player 페이지에 액세스하거나 Flash 컨텐츠를 마우스 오른쪽 버튼으로 클릭한 다음 메뉴에서 "Adobe(또는 Macromedia) Flash Player 정보"를 선택하십시오. 여러 개의 브라우저를 사용하고 있는 고객은 시스템에 설치되어 있는 각 브라우저별로 Flash Player 버전 번호를 확인한 후 설치해야 합니다.
Adobe에서는 Adobe Flash Player 9.0.115.0 이전 버전의 모든 사용자가 플레이어 다운로드 센터에서 최신 버전을 다운로드하거나 제품 내에서 자동으로 업데이트할지 여부를 묻는 메시지가 나타날 때 이 자동 업데이트 메커니즘을 사용하여 최신 버전의 9.0.124.0으로 업그레이드할 것을 권장합니다.
Adobe는 이 문제를 위험 수준 문제로 분류하고 해당 사용자가 버전 9.0.124.0으로 업그레이드할 것을 권장합니다.
이 업데이트는 임의의 코드를 실행할 수 있는 Flash Player 9.0.115.0 이전 버전에서 발견된 입력 인증 오류를 해결해 줍니다. 이러한 취약점은 사용자의 웹 브라우저, 이메일 클라이언트 또는 Flash Player를 포함하거나 참조하는 기타 애플리케이션을 사용하여 원격 위치에서 제공되는 컨텐츠를 통해 이용될 수 있습니다. (CVE-2007- 0071, CVE-2007- 6019)
참고: CVE-2007-0071로 확인된 문제가 악용되고 있는 것으로 보고되었습니다.
이 업데이트는 침입자가 DNS 리바인딩 공격을 수행하는 데 도움을 줄 수 있는 잠재적인 문제를 해결할 수 있는 기능을 제공합니다. 자세한 내용은 다음 Adobe 개발자 센터 기술문서*를 참조하십시오. (CVE-2007-5275, CVE-2008-1655)
이 업데이트는 새롭고 더욱 엄격한 방법을 제공하여 Flash Player에서 크로스 도메인 정책 파일을 해석할 수 있도록 합니다. 이러한 방법은 Flash 컨텐츠와 크로스 도메인 정책 파일을 호스팅하는 웹 서버를 대상으로 한 권한 에스컬레이션 공격을 방지하는 데 도움을 줄 수 있습니다. 자세한 내용은 다음 Adobe 개발자 센터 기술문서*를 참조하십시오. (CVE-2007- 6243)
이 업데이트는 새로운 보안 기능을 추가하여 SWF에서 HTTP 헤더를 다른 도메인에 전송하기 전에 크로스 도메인 정책 파일을 점검할 수 있도록 합니다. 이러한 방법은 다른 도메인의 컨텐츠에서 전송된 악성 HTTP 헤더를 방어하여 웹 사이트 보안을 개선하는 데 도움을 줍니다. 자세한 내용은 다음 기술 문서*를 참조하십시오. (CVE-2008-1654)
이 업데이트에서는 매개 변수가 지정되지 않았을 때 사용되는 allowScriptAccess 기본값이 모든 SWF 버전 7 및 이전 버전에 대해 "always"에서 "sameDomain"으로 업데이트됩니다. 따라서 현재 보안 모델과 일치하고 기본적으로 보다 강화된 보안 기능을 제공할 수 있도록 이전 SWF의 비헤이비어가 변경됩니다. 또한 컨텐츠 제작자가 의도하지 않은 SWF에서의 스크립트 실행 작업을 방지하지 위해 브라우저 인터랙션용으로 특별히 제작되지 않은 API는 "javascript:" URL을 더 이상 허용하지 않습니다. 그러나 브라우저 인터랙션을 위해 제작된 getURL() 및 navigateToURL() API는 “javascript:” URL을 계속 허용할 것입니다. 이러한 변경 사항은 처음 보안 권고 조치 APSA07-06에서 설명한 문제를 해결합니다. (CVE-2007-6637)
이러한 향상된 보안 기능과 변경 사항이 기존의 Flash 컨텐츠에 영향을 미칠 수 있는 가능성이 있기 때문에 고객은 2008년 3월 Adobe 개발자 센터 기술문서*를 검토하여 변경 사항이 컨텐츠에 영향을 미치는지 여부를 확인하고 매끄러운 전환을 위해 필요한 변경 사항을 즉시 구현해야 합니다.
다음 상황에 해당되는 고객은 본 기술문서*를 자세히 읽어 보십시오.
– SWF가 연결되어 있는 도메인에 상관없이 소켓 또는 XMLSocket을 사용하는 경우
– 데이터 크로스 도메인을 전송하거나 로드할 때 모든 네트워크 API 호출에서 addRequestHeader 또는 URLRequest.requestHeaders를 사용하거나 원격 도메인에서 웹 서비스 제공업체로 컨텐츠에 액세스하는 경우
– 방법에 상관없이 호스팅 HTML과 통신하는 Flash Player 7(SWF7) 이전 버전용으로 내보낸 SWF를 사용하는 경우
– SWF 외부에서 통신하기 위해 네트워크 API를 통해 "javascript:"를 사용하는 경우
| 해당되는 소프트웨어 | 권장되는 플레이어 업데이트 | 가용성 |
|---|---|---|
| Flash Player 9.0.115.0 및 이전 버전 | 9.0.124.0 | 플레이어 다운로드 센터 |
| Flash Player 9.0.115.0 및 이전 버전 - 네트워크 배포 | 9.0.124.0 | 플레이어 라이센스* |
| Flash CS3 Professional | 9.0.124.0 | Flash CS3 Professional용 Flash Player 9 업데이트* |
| Flash Professional 8, Flash Basic | 8.0.42.0 | Flash Professional 8, Flash Basic용 Flash Player 8 업데이트* |
| Flex 3.0 | 9.0.124.0 | Flash Debug Player Updater* |
| AIR 1.0 | 1.0.1 | AIR 다운로드 센터* |
Adobe는 입력 인증 오류를 TippingPoint의 Zero Day Initiative*를 통해 보고하여 양사 고객의 보안 유지에 도움을 주신 Secunia Research*의 Alin Rad Pop씨를 비롯하여 Javier Vicente Vallejo씨와 Shane Macaulay씨에게 감사의 말씀을 전합니다. (CVE-2007-6019)
Adobe는 입력 인증 오류를 TippingPoint의 Zero Day Initiative*를 통해 보고하여 양사 고객의 보안 유지에 도움을 주신 ISS X-Force*의 Mark Dowd씨와 team509*의 wushi씨에게 감사의 말씀을 전합니다. (CVE-2007-0071)
Adobe는 DNS 리바인딩 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 Stanford University*의 Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson 및 Weidong Shao씨에게 감사의 말씀을 전합니다. (CVE-2007-5275)
Adobe는 DNS 리바인딩 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 Ernst and Young 고급 보안 센터*의 Nathan McFeters씨와 Rob Carter씨에게 감사의 말씀을 전합니다. (CVE-2008-1655)
Adobe는 HTTP 헤더 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 Microsoft*의 Tom Gallagher씨에게 감사의 말씀을 전합니다. (CVE-2008-1654)
Adobe는 크로스 도메인 정책 파일 문제를 보고하여 양사 고객의 보안 유지에 도움을 주신 UBsecure, Inc.*의 Toshiharu Sugiyama씨와 JPCERT/CC*에 감사의 말씀을 전합니다. (CVE-2007- 6243)
Adobe는 SWF에서 크로스 사이트 스크립팅의 잠재적 취약점을 보고해 주신 Google Security Team*의 Rich Cannings씨와 Minded Security*의 Stefano Di Paola씨에게 감사의 말씀을 전합니다. (CVE-2007-6637)
2008년 5월 30일 – 악용되고 있는 CVE-2007-0071 보고서 관련 정보가 자세한 내용 섹션에 추가되었습니다.
2008년 4월 17일 – Flash CS3 Professional, Flash Professional 8 및 Flash Basic에 대한 정보가 자세한 내용 섹션에 추가됨
2008년 4월 8일 – 게시판 최초 작성일
