Wednesday, January 13, 2010

Security updates available for Adobe Reader 9.2 and Acrobat 9.2

Adobe ออกแพตซ์สำหรับปิดช่องโหว่ความปลอดภัยในโปรแกรม Adobe Reader 9.2 และ Acrobat 9.2
บทความโดย: The Windows Administrator Blog

สืบเนื่องจากวันที่ 15 ธันวาคม 2552 Adobe ได้ประกาศให้ผู้ใช้ทราบว่ามีการตรวจพบช่องโหว่ความปลอดภัย (Vulnerability) ซึ่งมีความร้ายแรงระดับวิกฤติ (Critical) ใน 2 โปรแกรม ดังนี้
• โปรแกรม Adobe Reader 9.2 และเก่ากว่า เวอร์ชันสำหรับระบบ Windows, Macintosh และ UNIX
• โปรแกรม Adobe Acrobat 9.2 และเก่ากว่า เวอร์ชันสำหรับระบบ Windows, Macintosh

โดยแฮ็คเกอร์สามารถใช้ช่องโหว่ความปลอดภัยนี้ทำการโจมตีแบบ Remote Code Execution โดยใช้วิธีการฝังโค้ดอันตรายไว้ในไฟล์เอกสาร PDF ได้ และหากการโจมตีสำเร็จแฮ็คเกอร์ก็จะสามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ สำหรับรายละเอียดสามารถอ่านได้จากบทความเรื่อง Adobe Reader and Acrobat Remote Code Execution Vulnerability

สำหรับช่องโหว่ความปลอดภัยที่พบนั้น มีจำนวน 8 ช่องโหว่ โดยมีหมายเลข CVE ดังนี้
CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324

วันนี้ (12 ม.ค. 53) Adobe ได้ออกแพตซ์ (Patch) เพื่อแก้ไขช่องโหว่ความปลอดภัยของโปรแกรม Adobe Reader และ Acrobat เวอร์ชันที่ได้รับผลกระทบแล้ว โดยสามารถดาวน์โหลดได้ตามรายละเอียดด้านล่างครับ

Adobe Reader 9.3 for Windows
• สำหรับการติดตั้ง Adobe Reader ใหม่ สามารถดาวน์โหลด Adobe Reader 9.3 ได้จากเว็บไซต์ (ขนาดไฟล์โดยประมาณ 37.86 MB) Download Adobe Reader 9.3

Acrobat Standard and Pro for Windows
• ผู้ที่ใช้ Acrobat Standard หรือ Pro 9.2 สามารถอัพเดทเป็นเวอร์ชัน 9.3 โดยดาวน์โหลดอัพเดทได้จากเว็บไซต์ (ขนาดไฟล์โดยประมาณ 174MB) Download Adobe Acrobat 9.3 Professional and Standard Update

วิธีการติดตั้งอัพเดท
วิธีการอัพเดทนั้นทำได้ 2 วิธีดังนี้
วิธีืั้ที่ 1. ดาวน์โหลดไฟล์อัพเดทตามรายละเอียดด้านบน หลังจากดาวน์โหลดเสร็จเรียบร้อยแล้ว ให้ทำการติดตั้งโดยการดับเบิลคลิกไฟล์ที่ดาวน์โหลด แล้วดำเนินการตามขั้นตอนบนจอภาพ
วิธีที่ 2. เปิดโปรแกรม Adobe Reader หรือ Acrobat จากนั้นให้คลิกที่เมนู Help แล้วคลิก Check for updates...

หมายเหตุ: วิธีการตรวจสอบเวอร์ชันทำได้โดยคลิกเมนู Help แล้วคลิก About Adobe Reader [เวอร์ชัน]

ปัญหาที่ได้รับการแก้ไข
ปัญหาที่ได้รับการแก้ไขใน Adobe Reader 9.3 และ Acrobat 9.3 มีดังนี้
• Resolves a use-after-free vulnerability in Multimedia.api that could lead to code execution (CVE-2009-4324).
• Resolves an array boundary issue in U3D support that could lead to code execution (CVE-2009-3953).
• Resolves a DLL-loading vulnerability in 3D that could allow arbitrary code execution (CVE-2009-3954).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2009-3955).
• Mitigates a script injection vulnerability by changing the Enhanced Security default (CVE-2009-3956).
• Resolves a null-pointer dereference vulnerability that could lead to denial of service (CVE-2009-3957).
• Resolves a buffer overflow vulnerability in the Download Manager that could lead to code execution (CVE-2009-3958).
• Resolves an integer overflow vulnerability in U3D support that could lead to code execution (CVE-2009-3959).

แหล่งข้อมูลอ้างอิง
APSB10-02: Security advisory for Adobe Reader and Acrobat

© 2010 TWA Blog. All Rights Reserved.

0 Comment: