Adobe Releases Security Advisory for Adobe Reader and Acrobat 9.3.3

พบช่องโหว่ความปลอดภัยร้ายแรงใน Adobe Reader และ Acrobat 9.3.3 ยังไม่มีแพตซ์สำหรับแก้ไข
บทความโดย: Thai Windows Administrator Blog

เมื่อวันที่ 4 สิงหาคม 2553 (ตามเวลาในประเทศสหรัฐอเมริกา) Adobe ได้ออก Security Advisory for Adobe Reader and Acrobat เพื่อแจ้งให้ผู้ใช้ทราบว่า "มีการพบช่องโหว่ความปลอดภัย (Vulnerability) ร้ายแรงระดับวิกฤติในโปรแกรม Adobe Reader 9.3.3 และเก่ากว่า และ Acrobat 9.3.3 และเก่ากว่า เวอร์ชันสำหรับระบบ Windows, Macintosh และ UNIX"

สำหรับช่องโหว่ความปลอดภัยที่พบนี้ถูกค้นพบในงานซีเคียวริตี้คอนเฟอร์เรนซ์ Black Hat USA 2010 มีหมายเลขอ้างอิงเป็น CVE-2010-2862 โดยช่องโหว่ความปลอดภัยเกิดจากปัญหา Integer overflow ในไฟล์ CoolType.dll ซึ่งทำหน้าที่จัดการฟอนท์ ส่งผลให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีระบบโดยใช้ฟอนท์แบบ TrueType font หากการโจมตีสำเร็จแฮกเกอร์ก็จะสามารถเข้าควบคุมระบบได้ในทันที

ซอฟต์แวร์ที่ได้รับผลกระทบ
สำหรับซอฟต์แวร์ที่ได้รับผลกระทบจากช่องโหว่ความปลอดภัยที่พบในครั้งนี้ ได้แก่
• โปรแกรม Adobe Reader 9.3.3 และเก่ากว่า Adobe Reader 8.2.3 และเก่ากว่า เวอร์ชันสำหรับระบบ Windows, Macintosh และ UNIX
• โปรแกรม Acrobat 9.3.3 และเก่ากว่า เวอร์ชันสำหรับระบบ Windows และ Macintosh

หมายเหตุ: Adobe Reader 8.x และ Acrobat 8.x ไม่ได้รับผลกระทบจากช่องโหว่ความปลอดภัยดังกล่าวนี้

กำหนดวันออกแพตซ์
Adobe ได้กำหนดวันออกแพตซ์ (Patch) เพื่อแก้ไขช่องโหว่ความปลอดภัยดังกล่าวนี้ในวันที่ 16 สิงหาคม 2553 อนึ่ง การอัปเดท Adobe Reader และ Acrobat ที่จะออกใน16 สิงหาคม 2553 นั้นเป็นการอัปเดทกรณีพิเศษ (out-of-band) โดย Adobe มีแผนการอัปเดทความปลอดภัยของไตรมาสถัดไปในวันที่ 12 ตุลาคม 2553

วิธีการป้องกันระบบจากการถูกโจมตี
Adobe ยังไม่ได้เผยแพร่แนะนำวิธีการป้องกันระบบจากการถูกโจมตีสำหรับผู้ใช้ ออก Adobe Reader 9.3.4 และ Acrobat 9.3.4 เพื่อแก้ปัญหาดังกล่าวนี้แล้ว สามารถอ่านรายละเอียดได้ที่ Adobe Reader 9.3.4 and Acrobat 9.3.4 security updates fix 2 critical holes

แหล่งข้อมูลอ้างอิง
• CNET

© 2010 TWA Blog. All Rights Reserved.