웹 상에서 플래쉬 파일 포맷이 상당히 인기인 만큼, 플래쉬 파일을 만들어주는 툴들이 많은데요. 다양한 플래쉬 개발 도구들에 의해 생성된 SWF 파일에 대한 XSS 취약점이 발표되었습니다.
취약점 상세 정보 : http://docs.google.com/View?docid=ajfxntc4dmsq_14dt57ssdw
만약 여러분 사이트에 드림위버, Adobe Acrobat Connect, InfoSoft FusionCharts, Techsmith Camtasia, Autodemo 를 이용해 만들어진 SWF 파일이 있다면 위의 취약점 상세 정보를 참고하셔서 XSS 취약점을 제거하시기 바랍니다.
국내외 보안 커뮤니티에서 동영상 제작 시 Camtasia 를 많이 사용 중인 것으로 아는데요, 여러분 사이트의 동영상 강좌 중에 Camtasia 를 이용해 SWF 포맷으로 만든 파일이 있는지 확인해보시길 바랍니다.
이상의 프로그램 목록은 취약점을 점검한 제품의 목록이므로, 그 외의 다른 제품군에도 이와 유사한 문제가 있을 수 있습니다.
정리:
1. 이 취약점은 SWF 파일을 올려둔 웹 사이트 담당자가 문제를 해결해줘야 합니다.
2. 일반 사용자가 웹 사이트를 접속하는 와중에 자신의 쿠키 및 세션 정보가 유출되거나, 악성 코드가 설치될 수 있습니다.
대응 방안:
1. 웹 사이트 담당자 : 위의 취약점 상세 정보를 토대로 사이트의 취약한 SWF 파일을 점검한 후, SWF 파일 개발 도구 제작사의 최신 패치를 다운받아, 각 SWF 파일을 다시 생성해주셔야 합니다.
2. 사용자 : 일단 Adobe Flash Player 를 업데이트 해주시고, 웹 사이트 접속 시 Flash 파일이 실행되지 않도록 브라우저 설정을 변경해주시는 것이 좋겠습니다.
이 취약점은 장기간 여러 사이트를 고생시킬 듯 하네요.
- 2008/01/06 02:21
- swbae.egloos.com/1693927
- 덧글수 : 4
트랙백
ActionScript Virtual Machine을 통한 Flash Player 취약... 2008/07/02 10:05 #
SWF 파일에 존재하는 NULL-Pointer Dereference 취약점과 ActionScript Virtual Machine 2에 존재하는 설계상의 취약점이 결합하여 효과적인 공격이 만들어졌습니다. 그래서 이미 5월 부터 이슈되고 있는 취약점에 대한 분석 보고서를 작성해 보았습니다. 취약점을 발견하고 발전시킨 Mark Dowd씨의 문서를 토대로 한글화 한다는 마음(?)을 가지고 분석해본건데 잘 써졌는지 모르겠네요. 다 쓰고 다시 읽...... more
덧글
엔시스 2008/01/06 16:04 # 삭제 답글
좋은 정보 잘 보고 갑니다..조금 늦었지만 새해 복 많이 받으세요^^
다크광이 2008/01/06 17:16 # 삭제 답글
글좀 퍼 가겠습니다. ^^;
송재훈 2008/01/07 09:53 # 삭제 답글
UCC가 추세인 요즘 상황에서 쉽지 않은 문제일 것 같네요. 정말 한동안 이것 때문에 여럿 고생할 것 같네요.
suban 2008/01/07 13:19 # 삭제 답글
퍼갈게요^^