Monday, December 12, 2011

New Two Zero-Day Vulnerabilities Found In Adobe Flash Player

พบ 2 ปัญหาช่วงโหว่ความปลอดภัยใหม่ใน Adobe Flash Player ยังไม่มีอัพเดทสำหรับแก้ไข (Zero-Day)
อะโดบีงานเข้าอีกแล้ว เมื่อมีรายงานว่า US-CERT หน่วยงานที่ดูแลด้านระบบคอมพิวเตอร์ของประเทศสหรัฐอเมริกาได้ค้นพบ 2 ช่องโหว่ความปลอดภัยที่ยังไม่มีการระบุรายละเอียด (Unspecified vulnerability) ในโปรแกรม Adobe Flash Player 11.1.102.55 โดยผลช่องโหว่ความปลอดภัยที่พบในครั้งนี้มีหมายเลขอ้างอิงเป็น CVE-2011-4694 และมีผลกระทบทั้ง Adobe Flash Player เวอร์ชันสำหรับระบบปฏิบัติการ Windows และ MAC OS X

ผลกระทบของช่องโหว่ความความปลอดภัยที่พบใน Adobe Flash Player ครั้งนี้ คือ ถ้าผู้ใช้ทำการเปิดไฟล์ Flash (.swf) ที่มีการฝังโค้ดอันตรายไว้ภายในด้วยโปรแกรมเวอร์ชันที่มีช่องโหว่ความปลอดภัยจะทำให้ Adobe Flash Player เกิดการแครชและเกิดช่องโหว่ที่แฮกเกอร์สามารถใช้เป็นช่องทางในการเข้าควบคุมเครื่องคอมพิวเตอร์ได้ ซึ่งจากการทดสอบ Penetration Test โดย Intevydis* ปรากฏว่าสามารถผ่านระบบป้องกันการโจมตีของ Windows อย่างเช่น Data Execution Prevention (DEP) และ Address space layout randomization (ASLR) และหนีออกจากกระบะทรายของ Internet Explorer ได้สำเร็จ

ปัจจุบัน อะโดบียังไม่ได้ยืนยันหรือแจ้งเตือนปัญหานี้อย่างเป็นทางการ แต่ถ้าหากมีช่องโหว่จริง (ซึ่งน่าจะมีจริงเพราะข้อมูลจาก US-CERT นั้นมีความน่าเชื่อถือสูง) ตามรายงานของ US-CERT จะทำให้เป็น ช่องโหว่ความปลอดภัยแบบ Zero-Day และส่งผลให้ผู้ใช้โปรแกรม Adobe Flash Player ต้องตกอยู่ในความเสียงต่อการถูกโจมตีจนกว่าจะมีการออกอัพเดทสำหรับแก้ไข

ทั้งนี้ อะโดบีเพิ่งประกาศเตือนผู้ใช้ Adobe Reader และ Adobe Acrobat ให้ระวังการโจมตีจากแฮกเกอร์และมัลแวร์ผ่านทางปัญหาช่องโหว่ความปลอดภัย U3D memory corruption (หมายเลขอ้างอิง CVE-2011-2462) ไปเมื่อวันที่ 6 ธันวาคม 2554 ที่ผ่านมา โดยอ่านรายละเอียดเพิ่มเติมได้ที่ ผู้ใช้ Adobe Reader และ Acrobat เสี่ยงต่อการถูกโจมตีแบบ Zero-Day

หมายเหตุ: Intevydis เป็นบริษัทวิจัยด้านความปลอดภัยในระบบคอมพิวเตอร์ในประเทศรัสเซีย และเป็นบริษัทที่ริเริ่มแนวคิด "no more free bugs" ซึ่งจะคิดค่าบริการในการเปิดเผยรายละเอียดข้อผิดพลาดของโปรแกรมจากบริษัทผู้พัฒนา

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: