웹 상에서 플래쉬 파일 포맷이 상당히 인기인 만큼, 플래쉬 파일을 만들어주는 툴들이 많은데요. 다양한 플래쉬 개발 도구들에 의해 생성된 SWF 파일에 대한 XSS 취약점이 발표되었습니다.

취약점 상세 정보 : http://docs.google.com/View?docid=ajfxntc4dmsq_14dt57ssdw

만약 여러분 사이트에 드림위버, Adobe Acrobat Connect, InfoSoft FusionCharts, Techsmith Camtasia, Autodemo 를 이용해 만들어진 SWF 파일이 있다면 위의 취약점 상세 정보를 참고하셔서 XSS 취약점을 제거하시기 바랍니다.

국내외 보안 커뮤니티에서 동영상 제작 시 Camtasia 를 많이 사용 중인 것으로 아는데요, 여러분 사이트의 동영상 강좌 중에 Camtasia 를 이용해 SWF 포맷으로 만든 파일이 있는지 확인해보시길 바랍니다.

이상의 프로그램 목록은 취약점을 점검한 제품의 목록이므로, 그 외의 다른 제품군에도 이와 유사한 문제가 있을 수 있습니다.

정리:
1. 이 취약점은 SWF 파일을 올려둔 웹 사이트 담당자가 문제를 해결해줘야 합니다.
2. 일반 사용자가 웹 사이트를 접속하는 와중에 자신의 쿠키 및 세션 정보가 유출되거나, 악성 코드가 설치될 수 있습니다.

대응 방안:
1. 웹 사이트 담당자 : 위의 취약점 상세 정보를 토대로 사이트의 취약한 SWF 파일을 점검한 후, SWF 파일 개발 도구 제작사의 최신 패치를 다운받아, 각 SWF 파일을 다시 생성해주셔야 합니다.
2. 사용자 : 일단 Adobe Flash Player 를 업데이트 해주시고, 웹 사이트 접속 시 Flash 파일이 실행되지 않도록 브라우저 설정을 변경해주시는 것이 좋겠습니다.

이 취약점은 장기간 여러 사이트를 고생시킬 듯 하네요.