어도비는 오늘 심각한 보안 취약점이 수정된 플래시 플레이어 업데이트 버전을 발표했습니다.
플래시가 맥 운영체제의 가장 취약한 보안 구멍이 된지 어제 오늘의 일은 아니지만, 이번 취약점은 사이트 로그인 정보가 외부로 유출될 수 있다는 점에서 심각성이 매우 높다고 할 수 있습니다.
미 IT 매체 '아스테크니카'는 이베이, 트위터, 텀블러, 인스타그램 등 해외 유명 사이트에 로그인할 때 플래시 플레이어가 개인정보(계정 정보)를 유출하는 매개체가 될 수 있다고 지적했습니다. 구글의 보안 엔지니어 '미셸 스패그눌로' 역시 해당 취약점과 관련된 공격 코드를 공개하며 그 위험성을 강조했습니다. SWF 포맷의 플래시 애니메이션으로 둔갑한 일련의 소스코드가 플래시 플레이어에 의해 실행되어 사용자와 서버 사이의 데이터를 갈취한다는 것입니다. 따라서 플래시 애니메이션이 들어간 사이트가 아니더라도 이번 보안 취약점에서 자유롭지 못합니다.
이에 따라 이뤄진 이번 업데이트는 '긴급, 중요, 보통, 낮음'의 위험 등급 중 가장 높은 '긴급(critical)'에 해당하는 매우 중요한 업데이트입니다. 현재 플래시 플레이어를 사용하고 계신 분은 어도비 다운로드 센터를 방문하거나 자동 업데이트를 이용하여 이번 업데이트를 반드시 설치하시기 바랍니다. 윈도우 및 맥용 플래시 플레이어는 14.0.0.145 버전으로, 리눅스는 11.2.202.394 버전으로 업데이트됩니다. 플래시 플레이어 환경설정을 통해 자동 업데이트 옵션을 켜두셨다면 이미 업데이트가 이뤄졌을 수도 있습니다. ▼
이번 기회에 맥에서 플래시 플래이어를 아예 제거하는 것도 고려해볼 만한 일입니다. 전 세계적으로 스마트폰이 폭발적으로 확산되면서 예전보다 플래시 플레이어를 필요로 하는 사이트가 많이 줄었기 때문입니다. 또는 사파리 브라우저에 내장된 기능이나 ClickToFlash, ClickToPlugin 같은 웹 브라우저 플러그인을 사용하여 필요할 때만 선택적으로 플래시 애니메이션을 재생하는 것도 하나의 방법입니다.
참조
• Ars Technica - “Weaponized” exploit can steal sensitive user data on eBay, Tumblr, et al.
• Michele Spagnulo - Abusing JSONP with Rosetta Flash
관련 글
• 애플, 사파리에서 어도비 플래시 구 버전 실행 안 되도록 원격 차단
• 어도비 플래시 14버전 출시... 하지만 맥에서 업데이트가 계속 실패한다면?
• OS X 매버릭스 설치 후 벅스, 네이버 뮤직, 올레 뮤직에서 음악을 다운로드 받지 못한다면?
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'