Adobe Flash Player 취약점 (CVE-2015-5122, CVE-2015-5123) 추가 공개!

Adobe Flash Player 취약점 (CVE-2015-5122, CVE-2015-5123) 추가 공개!

Hacking Team 해킹공격으로 유출된 수 백 기가의 데이터 더미 속에서 또 다른 플래시 제로데이 취약점들이 발견되었습니다. 

 

이번에 발견된 2가지 취약점은 아래와 같습니다. 

 

Adobe Flash Player 취약점 (CVE-2015-5122, CVE-2015-5123)

   

※ 공격원리

CVE-2015-5122

TextBlock.createTextLine()와 TextBlock.recreateTextLine(textLine)를 포함 처리 할 때, 객체가 해체된 후에도 해제된 메모리 위치에 공격자가 다시 원하는 값을 쓸 수 있는 취약점(UAF)  

 

CVE-2015-5123

valueOf에서 BitmapData.dispose() 함수를 호출할때 플래쉬 플레이어의 크래쉬를 발생시킬 수 있는 취약점  

 

이 두 취약점은 7월 9일 패치된 CVE-2015-5119만큼 위험한 취약점(▶ 자세히 보기)입니다.

  

영향받는 소프트웨어

 

Adobe Flash Player 모든 버전

- Adobe Flash Player 18.0.0.203

- Adobe Flash Player18.0.0.204

- Adobe Flash Player Extended Support Release 13.0.0.302

- Adobe Flash Player Extended Support Release 11.2.202.481

 

  

패치방법

현재까지 패치는 공개되지 않은 상황이며, 임시 조치방법으로 Flash Player를 비활성화해 둘 것을 권장하고 있습니다.

※ 자세한 Adobe Flash Player 비활성화 방법은 이전 포스팅(▶ 자세히 보기)을 통해 확인하실 수 있습니다. 

※ [추가] 해당 취약점이 7월 14일 패치되었습니다. Adobe Flash Playe를 최신버전으로 업데이트(▶ 최신 버전 다운로드 )할 것을 권장하고 있습니다. 자세한 사항은 공지사항을 통해 확인하실 수 있습니다. (▶ 공지사항 확인)

※ 해당 취약점과 관련된 추가적인 사항은 여기를 통해 확인하실 수 있습니다.

참고:

https://helpx.adobe.com/security/products/flash-player/apsa15-04.html

http://blog.trendmicro.com/trendlabs-security-intelligence/another-zero-day-vulnerability-arises-from-hacking-team-data-leak/

http://blog.trendmicro.com/trendlabs-security-intelligence/new-zero-day-vulnerability-cve-2015-5123-in-adobe-flash-emerges-from-hacking-team-leak/

https://helpx.adobe.com/security/products/flash-player/apsb15-18.html