어도비, 플래시플레이어의 심각한 보안 취약점 '긴급' 패치

2014. 7. 9. 21:59    작성자: ONE™

어도비는 오늘 심각한 보안 취약점이 수정된 플래시 플레이어 업데이트 버전을 발표했습니다.

플래시가 맥 운영체제의 가장 취약한 보안 구멍이 된지 어제 오늘의 일은 아니지만, 이번 취약점은 사이트 로그인 정보가 외부로 유출될 수 있다는 점에서 심각성이 매우 높다고 할 수 있습니다.

미 IT 매체 '아스테크니카'는 이베이, 트위터, 텀블러, 인스타그램 등 해외 유명 사이트에 로그인할 때 플래시 플레이어가 개인정보(계정 정보)를 유출하는 매개체가 될 수 있다고 지적했습니다. 구글의 보안 엔지니어 '미셸 스패그눌로' 역시 해당 취약점과 관련된 공격 코드를 공개하며 그 위험성을 강조했습니다. SWF 포맷의 플래시 애니메이션으로 둔갑한 일련의 소스코드가 플래시 플레이어에 의해 실행되어 사용자와 서버 사이의 데이터를 갈취한다는 것입니다. 따라서 플래시 애니메이션이 들어간 사이트가 아니더라도 이번 보안 취약점에서 자유롭지 못합니다.

이에 따라 이뤄진 이번 업데이트는 '긴급, 중요, 보통, 낮음'의 위험 등급 중 가장 높은 '긴급(critical)'에 해당하는 매우 중요한 업데이트입니다. 현재 플래시 플레이어를 사용하고 계신 분은 어도비 다운로드 센터를 방문하거나 자동 업데이트를 이용하여 이번 업데이트를 반드시 설치하시기 바랍니다. 윈도우 및 맥용 플래시 플레이어는 14.0.0.145 버전으로, 리눅스는 11.2.202.394 버전으로 업데이트됩니다. 플래시 플레이어 환경설정을 통해 자동 업데이트 옵션을 켜두셨다면 이미 업데이트가 이뤄졌을 수도 있습니다. ▼

이번 기회에 맥에서 플래시 플래이어를 아예 제거하는 것도 고려해볼 만한 일입니다. 전 세계적으로 스마트폰이 폭발적으로 확산되면서 예전보다 플래시 플레이어를 필요로 하는 사이트가 많이 줄었기 때문입니다. 또는 사파리 브라우저에 내장된 기능이나 ClickToFlash, ClickToPlugin 같은 웹 브라우저 플러그인을 사용하여 필요할 때만 선택적으로 플래시 애니메이션을 재생하는 것도 하나의 방법입니다.



참조
Ars Technica - “Weaponized” exploit can steal sensitive user data on eBay, Tumblr, et al.
Michele Spagnulo - Abusing JSONP with Rosetta Flash

관련 글
• 애플, 사파리에서 어도비 플래시 구 버전 실행 안 되도록 원격 차단
• 어도비 플래시 14버전 출시... 하지만 맥에서 업데이트가 계속 실패한다면?
• OS X 매버릭스 설치 후 벅스, 네이버 뮤직, 올레 뮤직에서 음악을 다운로드 받지 못한다면?
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'


    
  1. Blog Icon

    마지막에 알려주신 확장 프로그램은 매버릭스 사파리에 추가된 그 기능과는 다른 확장 프로그램인가요?

  2. Blog Icon
    꼬마거지왕자

    크롬에서는 웹브라우저 플러그인이 없나요. 맥에서 사파리보다 크롬을 많이 사용해서요

  3. Blog Icon
    모노마토

    크롬은 자체적으로 플래시 플러그인을 내장하고 있습니다. 맥 시스템에 플래시가 깔려 있지 않아도 크롬으로는 플래시를 볼 수 있죠.
    저도 플래시를 깔지 않은 상태에서 꼭 플래시를 써야 볼 수있는 것만 크롬으로 열어서 봅니다.

  4. Blog Icon
    icchantika

    플래시 프레이어는 어떻게 제거하나요?

  5. Blog Icon
    페이퍼

    http://helpx.adobe.com/flash-player/kb/uninstall-flash-player-mac-os.html 에서 해당 맥 버전에 맞는 언인스톨러를 다운 받아서 모든 브라우저와 시스템 환경설정을 닫고 진행하면 삭제 됩니다.

  6. Blog Icon
    turtle

    아예 삭제를 해야겠네요.. 고맙습니다~

  7. Blog Icon
    user

    플래시가 많이 줄었다고는 해도 유튜브 등 아직까지도 많이 사용되고 있어서 제거하질 못하겠네요....

  8. Blog Icon
    미라스케

    적어도 유튜브는 플래시 플러그인이 없으면 알아서 HTML5모드에서 작동합니다.

  9. Blog Icon
    김선경

    하더라도 720P가 최고 화질입니다... HTML를 지원안하는 동영상이라면 아예 상영자체가 안됩니다.

  10. Blog Icon
    미라스케

    그건 치명적이네요;;;

  11. Blog Icon
    김선경

    플래시 없애면 아마존 비디오 못보고 유튜브는 720P만 볼수있는 치명적인 단점이 존재하고 몇몇 문제점때문에 당장 지우질 못합니다;;;

  12. 유투브 hyml5 플레이어 설정하기 검색해 보세요

  13. Blog Icon
    김선경

    이미 해보고 플래쉬를 쓰는 중입니다. 고화질로 못보기떄문에 HTML를 쓸 이유가 없습니다.

  14. Blog Icon
    헤어포스원짱

    왜 브라질 축구와 어도비가 비슷해 보일까요. 맥에 있는 구멍

  15. Blog Icon
    박태준

    그래서 잡스형이 예전에 어도비 엄청 까댓죠

  16. Blog Icon
    천고류

    저 설정창은 어떻게 보는거죠??ㅜ.ㅜ 그리고 계속 업데이트 해도 버젼이 11.4.402.265(11.4) 로 보이네요

  17. Blog Icon
    천고류

    시스템 설정에서 볼수 있군요.. 근데 플래시플레이어 실행후 메뉴바에서 버젼을 확인하면 다르게 나오는건가요??

  18. Blog Icon
    reinaa

    맥 초기설정에 깔려있나요? 지금 막 포맷했는데 설치한 기억은 없고... 브라우저 크롬만 쓰는데 안심해도 될까요..?ㅜ

  19. Blog Icon
    icchantika

    감사합니다 페이퍼님

  20. Blog Icon
    haslram

    흠... 보안의 구멍이란건 너무나도 많습니다. 플레시 플레이어란 단편적인 부분이죠. 이걸 지운다고 해서 내 맥이 안전하다(?)
    몇백 몇만의 구멍의 하나 일 뿐입니다.
    현재도 자기가 인터넷을 하며 어떤 서버와 세션이 연결되어 있는지 그 서버는 정상적인 서버인지 모니터링 하며 사용하시나요? ㅎㅎ
    너무 한가지에 집착하시는 부분을 보면서 보이는 제 생각을 적어봤습니다.
    방패는 절대 모든걸 막지 못합니다. ^^

  21. Blog Icon
    폴군

    구멍들이야 수없이 많겠지만..
    그 중에 제일(?) 크다고 유명한 플래시가 있으니까
    해커들이 플래시를 좋은 통로로 사용해서 적극적으로 공격을 하고 있는 것이겠죠.
    그러니까 우리는 다른 구멍은 제끼더라도,
    그 유명한(?) 구멍인 플래시에 대해서는
    좀 민감해져 있을 필요도 있다고 봅니다 ㅎ

  22. Blog Icon
    아이맥유저

    PDF와 플래시의 보안문제가 유독 강조되는게 일반유저들도 많이 쓰기에 더 그런거 아닐까요? 특정 사이트 보안, 특정 회사의 보안하고는 범위 자체가 다르니까요.

  23. Blog Icon
    wink

    플래쉬는 진짜 문제가 심각해보입니다. 그렇다고 크롬 쓰면 구글에 개인정보 전달할것 같아 쓰기 그렇고...
    적당한때 플래쉬 플레이어 제거해야 겠네요

  24. Blog Icon
    페이퍼

    크롬 설정에 가면 개인정보 관련으로 옵션이 있습니다. 다 꺼버리면 그나마 좀 안전하지만 그렇다고 안빠져나가는지 알 수는 없는 거죠. 이미 몰래 아이폰 사파리에서 개인정보를 수정한 이력도 있는 회사라.

    특히 크롬 브라우저 뿐만 아니라 구글 계정으로 구글에 로그인 해서 유튜브, 구글 설정에서도 모든 정보에 대해 수집 못하도록 차단해야 합니다.
    구글은 사용하기만 해도 모든 정보가 구글로 빠져나가도록 기본으로 되어있거든요.

  25. Blog Icon
    ㅋㅋㅋ

    설치 안되시는 분은 없으신가요? 우리집 맥북에어 2대는 안되는데..

  26. Blog Icon
    lbear

    어도비 문제 때문에 골치가 아파요. 제가 가는 사이트들은 계속 묻기 때문에 상당히 귀찮네요.
    플래쉬 제거해버려도 사이트접속시에 로딩에 큰 문제 없는거 맞나요?

  27. Blog Icon
    최태석

    flash Player삭제 했더니 국내 사이트는 전멸이네요,activ X 에 이은 또 하나의 골치거리네요..
    평소 flash 높은 cpu 사용률때문에 유투브나 비메오등 에서는 html5 player 로 재생되게 설정해 두었지만 국내 거의 모든 사이트는 flash업으면 동영상 나오는 곳이 없네요..

  28. Blog Icon
    사랑이

    글 읽고 바로 삭제 했네요. 저야 사이트 들어가는 게 한정적이다 보니 플래시 없어도 그렇게 문제가 되지 않는군요.

    정보 감사합니다.

  29. Blog Icon
    최태석

    맥에서 카드사용하기 편에서 소개된 아이폰 이나 패드로 으로 접속한것처럼 하면 (모바일페이지로 접속하면) 동영상이 나오는군요..

  30. Blog Icon
    신문명

    사파리 플래쉬때문에 죽겠습니다. CPU점유율이 말도 못합니다. 사파리 종료하면 4~5%이던 점유율이 사파리 실행시키면 80%가 넘어가니...

  31. Blog Icon
    hayoung113

    이미 행킹당한것 같으면 어드게 해야하나요