Adobe Flash Player 10.1.53.64 and AIR 2.0.2.12610 Security Updates

Adobe ออก Flash Player 10.1.53.64 และ AIR 2.0.2.12610 เพื่อแพตซ์ช่องโหว่ความปลอดภัยร้ายแรง
บทความโดย: Windows Administrator

สืบเนื่องจาก Adobe ได้ประกาศว่ามีการตรวจพบช่องโหว่ความปลอดภัย (Vulnerability) ซึ่งมีความร้ายแรงระดับ Critical ในโปรแกรม Flash Player 10.0.45.2 และเก่ากว่าเวอร์ชันสำหรับ Internet Explorer (IE), Firefox, Safari และโปรแกรม AIR 1.5.3.9130 และเก่ากว่า ซึ่งมีผลกระทบกับเวอร์ชันสำหรับระบบปฏิบัติการ Windows, Macintosh OS X, Linux และ Solaris ตามรายละเอียดใน Security Advisory for Flash Player 10.0.45.2, Adobe Reader and Acrobat 9.3.2 โดยแฮกเกอร์สามารถใช้ช่องโหว่ความปลอดภัยดังกล่าวนี้ในการโจมตีระบบเพื่อเข้ายึดครองได้

สำหรับช่องโหว่ความปลอดภัยที่พบนั้นมีถึง 32 ช่องโหว่ โดยมีหมายเลข CVE ดังนี้
CVE-2008-4546, CVE-2009-3793, CVE-2010-1297, CVE-2010-2160, CVE-2010-2161, CVE-2010-2162, CVE-2010-2163, CVE-2010-2164, CVE-2010-2165, CVE-2010-2166, CVE-2010-2167, CVE-2010-2169, CVE-2010-2170, CVE-2010-2171, CVE-2010-2172, CVE-2010-2173, CVE-2010-2174, CVE-2010-2175, CVE-2010-2176, CVE-2010-2177, CVE-2010-2178, CVE-2010-2179, CVE-2010-2180, CVE-2010-2181, CVE-2010-2182, CVE-2010-2183, CVE-2010-2184, CVE-2010-2185, CVE-2010-2186, CVE-2010-2187, CVE-2010-2188, CVE-2010-2189

วันที่ 10 มิถุนายน 2553 (ตามเวลาในสหรัฐอเมริกา) ทาง Adobe ได้ออก Flash Player 10.1.53.64 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ปัญหาช่องโหว่ความปลอดภัยเรียบร้อยแล้ว ดังนั้น ผู้ที่ใช้โปรแกรม Flash Player 10.0.45.2 หรือเก่ากว่าให้ทำการอัพเดทในทันทีที่ทำได้เพื่อความปลอดภัย โดยสามารถทำการอัพเดทผ่านทางเว็บเบราเซอร์ด้วยการเปิดไปที่เว็บไซต์ Get Flash Player จากนั้นคลิก Agree and install now แล้วปฏิบัติการขั้นตอนบนจอภาพจนการติดตั้งแล้วเสร็จ

หมายเหตุ: ให้ทำการอัพเดท Flash Player ในโปรแกรมเว็บเบราเซอร์ทุกตัวที่ติดตั้งใช้งานบนเครื่องคอมพิวเตอร์

นอกจากนี้ Adobe ยังเปิดให้ดาวน์โหลดแพตซ์ (Patch) สำหรับผู้ใช้ที่ไม่สามารถอัพเดทเป็น Flash Player 10.1.53.64 ผ่านทางอินเทอร์เน็ตได้ โดยสามารถดาวน์โหลดแพตซ์มาติดตั้งด้วยตนเองจากเว็บไซต์ Download Flash Player หรือดาวน์โหลดจากเว็บไซต์ด้านล่าง

• ดาวน์โหลด Flash Player 10.1.53.64 for Internet Explorer (Windows) ได้ที่เว็บไซต์ Download EXE Installer
• ดาวน์โหลด Flash Player 10.1.53.64 for Plugin-based browsers (Windows) ได้ที่เว็บไซต์ Download Flash Player for Firefox

ในส่วนของโปรแกรม AIR นั้น Adobe ได้ออก AIR 2.0.2.12610 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ปัญหาช่องโหว่ความปลอดภัยเรียบร้อยแล้ว ผู้ที่ใช้โปรแกรม AIR 1.5.3.1930 หรือเก่ากว่า ให้ทำการอัพเดทในทันทีที่ทำได้เพื่อความปลอดภัย โดยสามารถทำการอัพเดทได้จากเว็บไซต์ Adobe AIR Download Center

วิธีการตรวจสอบเวอร์ชันของโปรแกรม Flash Player
สำหรับท่านใดที่ไม่แน่ใจว่าโปรแกรม Flash Player ที่ใช้อยู่เป็นเวอร์ชันใด สามารถเข้าไปตรวจสอบได้ที่เว็บไซต์ About: Flash Player

วิธีการตรวจสอบเวอร์ชันของโปรแกรม AIR
สำหรับท่านใดที่ไม่แน่ใจว่าโปรแกรม AIR ที่ใช้อยู่เป็นเวอร์ชันใด สามารถเข้าไปตรวจสอบได้ที่เว็บไซต์ Adobe AIR TechNote

ปัญหาที่ได้รับการแก้ไข
ปัญหาที่ได้รับการแก้ไขใน Flash Player 10.1.53.64 มีดังนี้
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-1297).
• Resolves a memory exhaustion vulnerability that could lead to code execution (CVE-2009-3793).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2160).
• Resolves an indexing vulnerability that could lead to code execution (CVE-2010-2161).
• Resolves a heap corruption vulnerability that could lead to code execution (CVE-2010-2162).
• Resolves multiple vulnerabilities that could lead to code execution (CVE-2010-2163).
• Resolves a use after free vulnerability that could lead to code execution (CVE-2010-2164).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2165).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2166).
• Resolves multiple heap overflow vulnerabilities that could lead to code execution (CVE-2010-2167).
• Resolves a pointer memory corruption that could lead to code execution (CVE-2010-2169).
• Resolves an integer overflow vulnerability that could lead to code execution (CVE-2010-2170).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2171).
• Resolves a denial of service issue on some UNIX platforms (Flash Player 9 only) (CVE-2010-2172).
• Resolves an invalid pointer vulnerability that could lead to code execution (CVE-2010-2173).
• Resolves an invalid pointer vulnerability that could lead to code execution (CVE-2010-2174).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2175).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2176).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2177).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2178).
• Resolves a URL parsing vulnerability that could lead to cross-site scripting (Firefox and Chrome browsers only) (CVE-2010-2179).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2180).
• Resolves an integer overflow vulnerability that could lead to code execution (CVE-2010-2181).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2182).
• Resolves a integer overflow vulnerability that could lead to code execution (CVE-2010-2183).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2184).
• Resolves a buffer overflow vulnerability that could lead to code execution (CVE-2010-2185).
• Resolves a denial of service vulnerability that can cause the application to crash. Arbitrary code execution has not been demonstrated, but may be possible. (CVE-2010-2186).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2187).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2188).
• Resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2189).
• Resolves a denial of service issue (CVE-2008-4546).

แหล่งข้อมูลอ้างอิง
• APSB10-14

© 2010 TWA Blog. All Rights Reserved.