Wednesday, April 13, 2011

Adobe Releases Security Advisory for Flash Player 10.2.153.1 and earlier, Acrobat and Reader 10.0.2 and earlier

Adobe เตือนให้ระวังการโจมตีผ่านช่องโหว่ความปลอดภัยของ Flash Player 10.2.153.1, Adobe Reader และ Acrobat 10.0.2
แก้ไขล่าสุด - 15 เมษายน 2554: Adobe ได้ประกาศวันออกอัปเดทสำหรับแก้ไขปัญหาช่องโหว่ความปลอดภัยตัวนี้แล้ว รายละเอียดดังนี้
Adobe จะออกอัปเดทสำหรับแก้ไขปัญหาช่องโหว่ความปลอดภัยใน Flash Player 10.2.x และเก่ากว่า เวอร์ชันสำหรับ Windows, Macintosh, Linux, และ Solaris ใน วันศุกร์ที่ 15 เมษายน 2554 ส่วนอัปเดทสำหรับแก้ไขปัญหาช่องโหว่ความปลอดภัยใน Adobe Acrobat X (10.0.2) และเก่ากว่า 10.x และ 9.x และเก่ากว่า เวอร์ชันสำหรับ Windows และ Macintosh, Adobe Reader X (10.0.1) เวอร์ชันสำหรับ Macintosh, Adobe Reader 9.4.3 และเก่ากว่า และเวอร์ชัน 9.x เวอร์ชันสำหรับ Windows และ Macintosh นั้นคาดว่าจะออกภายใน วันที่ 25 เมษายน 2554

สำหรับผู้ใช้โปรแกรมเว็บเบราเซอร์ Google Chrome นั้นให้ทำการอัปเดทเป็นเวอร์ชัน Google Chrome 10.0.648.205 ซึ่งเป็นเวอร์ชันที่อัปเดทเป็น Flash Player 10.2.154.27 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขปัญหาความปลอดภัยแล้ว

Adobe ได้ประกาศเตือนให้ผู้ใช้ Flash Player, Adobe Reader และ Acrobat ระวังถูกโจมตี (วันที่ 12 เมษายน 2554 - เวลาในประเทศไทย) เนื่องจากมีการค้นพบช่องโหว่ความปลอดภัย (Vulnerability) ที่มีความร้ายแรงระดับวิกฤตในโปรแกรม Flash Player 10.2.153.1 และเก่ากว่า (Flash Player 10.2.154.25 และเก่ากว่าสำหรับเว็บเบราเซอร์ Google Chrome) เวอร์ชันสำหรับระบบปฏิบัติการ Windows, Macintosh, Linux และ Solaris, โปรแกรม Flash Player 10.2.156.12 และเก่ากว่าสำหรับระบบปฏิบัติการ Android, ในไฟล์ Authplay.dll (หรือ AuthPlayLib.bundle) ของโปรแกรม Adobe Reader X (10.0.2) และ Acrobat X (10.0.2) และเก่ากว่ารวมถึง 10.x และ 9.x เวอร์ชันสำหรับระบบปฏิบัติการ Windows และ Macintosh

ปัญหาความปลอดภัยที่พบในครั้งนี้มีหมายเลขอ้างอิงเป็น CVE-2011-0611 มีผลกระทบคืออาจเป็นสาเหตุทำให้โปรแกรมเกิดการแครชที่ส่งผลให้เกิดช่องทางที่สามารถใช้เข้าควบคุมระบบได้ โดย Adobe เปิดเผยว่ามีรายงานว่ามีการโจมตีผู้ใช้ Flash Player บนระบบปฏิบัติการ Windows แล้ว โดยผู้โจมตีจะใช้วิธีการฝังโค้ดอันตรายไว้ในหน้าเว็บหรือฝังไฟล์ Flash (.swf) ที่แฝงโค้ดอันตรายไว้ในไฟล์ Microsoft Word (.doc) หรือ Microsoft Excel (.xls) แล้วส่งไปทางอีเมล์ สำหรับการโจมตีผู้ใช้ผ่านทางช่องโหว่ความปลอดภัยในโปรแกรม Adobe Reader และ Acrobat โดยใช้ไฟล์ PDF นั้นในปัจจุบัน Adobe ยังไม่ได้รับรายงาน

ทั้งนี้ เนื่องจากปัจจุบันยังไม่มีอัปเดทสำหรับใช้แก้ไขช่องโหว่ความปลอดภัยที่พบในโปรแกรม Flash Player Adobe Reader และ Acrobat ในครั้งนี้ จึงทำให้มันเป็นช่องโหว่ความปลอดภัยแบบ Zero-day โดยที่ Adobe กำลังเร่งทำการพัฒนาอัปเดทแต่ยังไม่มีการประกาศวันออกอัปเดทที่แน่นอน

อนึ่ง ก่อนหน้านี้ทาง Adobe ได้ออกอัปเดทเพื่อแก้ปัญหาความปลอดภัยลักษณะเดียวกันนี้ใน Flash Player, Adobe Reader และ Acrobat ไปเมื่อวันที่ 22 มีนาคม 2554 ที่ผ่านมา

ซอฟต์แวร์ที่ได้รับผลกระทบ
สำหรับซอฟต์แวร์ที่ได้รับผลกระทบจากช่องโหว่ความปลอดภัยที่พบในครั้งนี้ ได้แก่
  • โปรแกรม Adobe Flash Player 10.2.153.1 หรือเก่ากว่า เวอร์ชันสำหรับระบบปฏิบัติการ Windows, Macintosh, Linux และ Solaris
  • โปรแกรม Adobe Flash Player 10.2.154.25 หรือเก่ากว่า เวอร์ชันสำหรับสำหรับโปรแกรมเว็บเบราเซอร์ Google Chrome
  • โปรแกรม Adobe Flash Player 10.2.156.12 หรือเก่ากว่า เวอร์ชันสำหรับระบบปฏิบัติการ Android
  • ไฟล์ Authplay.dll ในโปรแกรม Adobe Reader X (10.0.2), 10.x และ 9.x, Acrobat X (10.0.2), 10.x และ 9.x เวอร์ชันสำหรับระบบระบบปฏิบัติการ Windows และ Macintosh

หมายเหตุ: โปรแกรม Adobe Reader 9.x เวอร์ชันสำหรับระบบปฏิบัติการ UNIX, Adobe Reader เวอร์ชันสำหรับระบบปฏิบัติการ Android และ Adobe Reader และ Acrobat 8.x ไม่ได้รับผลกระทบ

หมายเลขอ้างอิง
ช่องโหว่ความปลอดภัยที่พบในโปรแกรม Flash Player, Adobe Reader และ Acrobat ครั้งนี้ มีหมายเลขอ้างอิงดังนี้

กำหนดวันออกแพตซ์
Adobe ได้กำหนดวันออกอัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัยในโปรแกรมต่างๆ ดังนี้
  • อัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัยในโปรแกรม Flash Player 10.2.x และเก่ากว่า เวอร์ชันสำหรับระบบปฏิบัติการ Windows, Macintosh, Linux และ Solaris นั้นกำลังอยู่ในระหว่างการพัฒนาโดยยังไม่มีการกำหนดวันออก
  • อัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัยในโปรแกรม Acrobat X (10.0.2), 10.x และเก่ากว่า และเวอร์ชัน 9.x และเก่ากว่า เวอร์ชันสำหรับระบบปฏิบัติการ Windows และ Macintosh นั้นกำลังอยู่ในระหว่างการพัฒนาโดยยังไม่มีการกำหนดวันออก
  • อัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัยในโปรแกรม Adobe Reader X (10.0.1), 10.x และเก่ากว่า และเวอร์ชัน 9.x และเก่ากว่า วอร์ชันสำหรับระบบปฏิบัติการ Windows และ Macintosh นั้นกำลังอยู่ในระหว่างการพัฒนาโดยยังไม่มีการกำหนดวันออก
  • สำหรับผู้ใช้ Flash Player เวอร์ชันสำหรับสำหรับระบบปฏิบัติการ Android นั้นกำลังอยู่ในระหว่างการพัฒนาโดยยังไม่มีการกำหนดวันออก
  • สำหรับผู้ใช้โปรแกรมเว็บเบราเซอร์ Google Chrome ยังไม่มีข้อมูล

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: