블로그 이미지

my hiding place

삶이 힘들 때, 조금이라도 고개를 들고 위를 보세요. 푸른 하늘이 당신을 맞이해줄 날이 있을 테니까. by nulonge


'ClickToFlash'에 해당되는 글 1건

  1. 2010.02.13 ClickToFlash, 위험할 지도...

ClickToFlash, 위험할 지도...

2010년 2월 11일자로 또 Flash Player 보안 업데이트가 나왔습니다. Flash에서 발견되는 취약성들은 해커들이 매우 좋아한다죠? (클릭: 보안업데이트 설치)

Flash가 동적인 웹 컨텐츠 발전에 기여한 바는 많겠지만, 점점 싫어하는 사람들이 많아지고 있습니다. 스티브 잡스는 아예 iPhone과 iPad에서 지원할 생각이 없다고 했습니다. 무겁고, 보안 취약성도 많습니다. 노트북으로 Flash가 있는 웹이라도 보려고 하면 팬소리가 아주 시끄럽습니다.

그래서 Mac 사용자들이 Safari에서 즐겨 사용하는 Flash 차단 플러그인중 하나가 ClickToFlash입니다. 이 플러그인은 오픈소스로 개발되고 있습니다. 기본적으로 Flash를 차단한 상태에서 원하는 것만 선택해서 보여주거나, YouTube에서 동영상을 H.264로 변환해서 보여준다던가, 다운로드 할 수 있게 해주는 고마운 존재입니다. 저에게는 Must-Have에 해당합니다.

그런데, 오늘 Flash 보안 업데이트를 설치하면서 ClickToFlash를 너무 믿지는 말아야 한다는 것을 알았습니다. 왜냐하면, ClickToFlash에서 사용하는 Flash 버전이 너무 낮기 때문입니다. 현재 ClickToFlash 안정 버전은 1.5.3인데, 여기에 탑재된 Flash 버전이 10.0 r22입니다. 얼마전 릴리즈된 버전은 10.0 r45. 그 사이 무려 23번의 릴리즈가 있었던 셈입니다. Flash 10.0 r22에 대해 Adobe가 공식적으로 취약성을 공지한 것은 작년 7월입니다. 그 뒤로도, 몇번의 보안 취약성 경고와 업데이트가 나왔는데, 7월에만 업데이트가 2번, 보안 경고가 1번이었지요. r45가 나오기까지 그 사이 보안 업데이트는 2번이 더 있었습니다. (참조: Adobe - Security Bulletins and Advisories)

Safari Plugin Info


Safari에서 플러그인 정보를 조회한 결과입니다. Shockwave Flash 플러그인 정보가 2번 나타납니다. 하나는 Flash Player.plubin, 또 하나는 ClickToFlash.webplugin. 버전이 상이합니다.

ClickToFlash는 본래 Flash를 차단하는 프로그램으로 사용되지만, r22 이후로 발견된 취약성에 대응할 수 없습니다. ClickToFlash만 믿고 Flash를 보는 것은 위험천만합니다. 따라서 ClickToFlash 사용자들은 이상야릇한 사이트나, 신뢰할 수 없는 사이트에서 구동되는 Flash를 사용하지 않는 것이 좋겠습니다.

누군가 ClickToFlash 소스를 보고 내장된 Flash 플러그인이 어떤 용도로 사용되는 지 확인이 필요해보입니다. Flash를 보기로 선택했다면, Safari 기본 Flash가 사용되는 지, 아니면 ClickToFlash가 사용되는 지 말입니다. 만약 ClickToFlash에 내장된 버전이 사용된다면 개발자에게 알려줘야 할 듯.
Comment 0 Trackback 0
Top

prev 1 next