릴리스 날짜: 2010년 10월 5일
취약점 식별자: APSB10-21
CVE 번호: CVE-2010-2883, CVE-2010-2884, CVE-2010-2887, CVE-2010-2888,
CVE-2010-2889, CVE-2010-2890, CVE-2010-3619, CVE-2010-3620, CVE-2010-3621,
CVE-2010-3622, CVE-2010-3623, CVE-2010-3624, CVE-2010-3625, CVE-2010-3626,
CVE-2010-3627, CVE-2010-3628, CVE-2010-3629, CVE-2010-3630, CVE-2010-3631,
CVE-2010-3632, CVE-2010-3656, CVE-2010-3657, CVE-2010-3658
플랫폼: 모든 플랫폼
의 취약점이 Windows, Macintosh 및 UNIX용 Adobe Reader 9.3.4(및 이전 버전),
Windows 및 Macintosh용 Adobe Acrobat 9.3.4(및 이전 버전),
Windows 및 Macintosh용 Adobe Reader 8.2.4(및 이전 버전)
및 Adobe Acrobat 8.2.4 (및 이전 버전)에서 발견되었습니다. CVE-2010-2883
(보안 권고 조치 APSA10-02에서 참조)과 CVE-2010-2884 (Adobe Flash
Player 보안 게시판 APSB10-22에서 참조) 등 이러한 취약점으로 인해 애플리케이션이 충돌할 수 있으며
침입자가 해당 시스템을 제어할 수 있습니다.
Adobe는 Windows, Macintosh 및 UNIX용 Adobe Reader 9.3.4 및 이전 버전의 사용자가
Adobe Reader 9.4로 업데이트할 것을 권장합니다. (Adobe Reader 9.4로 업데이트할 수 없는 Windows 및 Macintosh 기반의
Adobe Reader 사용자를 위해 Adobe는 Adobe Reader 8.2.5 업데이트를 제공했습니다.)
Adobe는 Windows 및 Macintosh용 Adobe Acrobat 9.3.4 및 이전 버전의 사용자가
Adobe Acrobat 9.4로 업데이트할 것을 권장합니다. 또한 Windows 및 Macintosh용 Adobe Acrobat 8.2.4 및
이전 버전의 사용자가 Adobe Acrobat 8.2.5로 업데이트할 것을 권장합니다.
2010년 10월 5일 업데이트는 당초 2010년 10월 12일로 예정되어 있던
차기 분기별 보안 업데이트를 앞당겨 출시하는 것입니다. 앞당겨진 출시로 인해
2010년 10월 12일 Adobe Reader와 Acrobat에 대한 추가 업데이트는 출시되지 않습니다. Adobe Reader와 Acrobat의
차기 분기별 보안 업데이트는 2011년 2월 8일로 예정되어 있습니다.
Adobe에서는 사용자가 아래 지침에 따라 해당 소프트웨어를 업데이트할 것을 권장합니다.
Adobe Reader
Windows 및 Macintosh 기반의 사용자는 해당 제품의 업데이트 메커니즘을 활용할 수 있습니다. 기본
구성은 일정에 따라 정기적으로 자동 업데이트 확인을 실행하도록 설정되어 있지만
도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.
Windows 기반의 Adobe Reader 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.
http://get.adobe.com/kr/reader/
Macintosh 기반의 Adobe Reader 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.
http://get.adobe.com/kr/reader/
UNIX 기반의 Adobe Reader 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.*
ftp://ftp.adobe.com/pub/adobe/reader/unix/9.x/9.4.0
*참고: UNIX용 Adobe Reader 9.4는 2010년 10월 21일까지 Adobe Reader 다운로드
센터(http://get.adobe.com/reader/)에서 제공됩니다.
Adobe Acrobat
사용자는 해당 제품의 업데이트 메커니즘을 활용할 수 있습니다. 기본 구성은 일정에 따라
정기적으로 자동 업데이트 확인을 실행하도록 설정되어 있지만 도움말 >
업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.
Windows 기반의 Acrobat Standard 및 Pro 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Windows 기반의 Acrobat Pro Extended 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Windows 기반의 Acrobat 3D 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows
Macintosh 기반의 Acrobat Pro 사용자는 아래 URL에서 해당 업데이트를 찾을 수 있습니다.
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe는 이 문제를 업데이트로 분류하고 해당 사용자가
위의 "해결 방법" 섹션의 지침에 따라 제품에 최신 업데이트를 적용할 것을 권장합니다.
의 취약점이 Windows, Macintosh 및 UNIX용 Adobe Reader 9.3.4(및 이전 버전),
Windows 및 Macintosh용 Adobe Acrobat 9.3.4(및 이전 버전),
Windows 및 Macintosh용 Adobe Reader 8.2.4(및 이전 버전)
및 Adobe Acrobat 8.2.4 (및 이전 버전)에서 발견되었습니다. CVE-2010-2883
(보안 권고 조치 APSA10-02에서 참조)과 CVE-2010-2884 (Adobe Flash
Player 보안 게시판 APSB10-22에서 참조) 등 이러한 취약점으로 인해 애플리케이션이 충돌할 수 있으며
침입자가 해당 시스템을 제어할 수 있습니다.
Adobe는 Windows, Macintosh 및 UNIX용 Adobe Reader 9.3.4 및 이전 버전의 사용자가
Adobe Reader 9.4로 업데이트할 것을 권장합니다. (Adobe Reader 9.4로 업데이트할 수 없는 Windows 및 Macintosh 기반의
Adobe Reader 사용자를 위해 Adobe는 Adobe Reader 8.2.5 업데이트를 제공했습니다.)
Adobe는 Windows 및 Macintosh용 Adobe Acrobat 9.3.4 및 이전 버전의 사용자가
Adobe Acrobat 9.4로 업데이트할 것을 권장합니다. 또한 Windows 및 Macintosh용 Adobe Acrobat 8.2.4 및
이전 버전의 사용자가 Adobe Acrobat 8.2.5로 업데이트할 것을 권장합니다.
이 업데이트는 코드를 실행할 수 있는 글꼴 파싱 입력 인증 취약점을
해결합니다(CVE-2010-2883).
참고: 이 문제가 악용되고 있다는 보고가 있습니다.
이 업데이트는 코드를 실행할 수 있는 authplay.dll 구성 요소의 메모리 손상 취약점을
해결합니다(CVE-2010-2884).
이 업데이트는 여러 개의 잠재적인 Linux 전용 권한 에스컬레이션 문제를 해결합니다(CVE-2010-2887).
이 업데이트는 코드를 실행할 수 있는 여러 개의 입력 인증 오류를 해결합니다(Windows,
ActiveX에만 해당)(CVE-2010-2888).
이 업데이트는 코드를 실행할 수 있는 글꼴 파싱 입력 인증 취약점을
해결합니다(CVE-2010-2889).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-2890).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-3619).
이 업데이트는 코드를 실행할 수 있는 이미지 파싱 입력 인증 취약점을
해결합니다(CVE-2010-3620).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-3621).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-3622).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(Macintosh 플랫폼에만 해당)(CVE-2010-3623).
이 업데이트는 코드를 실행할 수 있는 이미지 파싱 입력 인증 취약점을
해결합니다(Macintosh 플랫폼에만 해당)(CVE-2010-3624).
이 업데이트는 코드를 실행할 수 있는 접두사 프로토콜 핸들러 취약점을 해결합니다
(CVE-2010-3625).
이 업데이트는 코드를 실행할 수 있는 글꼴 파싱 입력 인증 취약점을
해결합니다(CVE-2010-3626).
이 업데이트는 코드를 실행할 수 있는 입력 인증 취약점을 해결합니다
(CVE-2010-3627).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-3628).
이 업데이트는 코드를 실행할 수 있는 이미지 파싱 입력 인증 취약점을
해결합니다(CVE-2010-3629).
이 업데이트는 임의의 코드 실행이 입증되지 않았지만 가능성이 있는
서비스 거부(DoS) 취약점을 해결합니다(CVE-2010-3630).
이 업데이트는 코드를 실행할 수 있는 배열 인덱싱 취약점을 해결합니다
(Macintosh 플랫폼에만 해당)(CVE-2010-3631).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-3632).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다
(CVE-2010-3658).
이 업데이트는 서비스 거부(DoS) 문제를 해결합니다(CVE-2010-3656).
이 업데이트는 서비스 거부(DoS) 문제를 해결합니다(CVE-2010-3657).
Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신
다음 분들께 감사의 말씀을 전합니다.
- Red Hat Security Response Team에서 제출한 보고서(CVE-2010-2887)
- Google Security Team의 Tavis Ormandy(CVE-2010-2888, CVE-2010-2889, CVE-2010-2890, CVE-2010-3619, CVE-2010-3620, CVE-2010-3626, CVE-2010-3658)
- TippingPoint의 Zero Day Initiative를 통해 보고해 주신 Sebastian Apelt(CVE-2010-3621, CVE-2010-3622)
- 뉴멕시코주 로스앨러모스의 James Quirk(CVE-2010-3623)
- iSIGHT Partners Global Vulnerability Partnership을 통해 보고해 주신 Felipe Andres Manzano(CVE-2010-3624)
- Google Security Team의 Billy Rios(CVE-2010-3625)
- Core Security Technologies의 Ricardo Narvaja(CVE-2010-3627)
- Fortinet의 FortiGuard Labs의 Bing Liu(CVE-2010-3628)
- CERT의 Will Dormann(CVE-2010-3629)
- Sense of Security의 Brett Gervasoni(CVE-2010-3630)
- nSense Vulnerability Research Team의 Knud Erik Højgaard(CVE-2010-3631)
- TippingPoint의 Zero Day Initiative를 통해 보고해 주신 익명의 사용자(CVE-2010-3632)
