New Two Zero-Day Vulnerabilities Found In Adobe Flash Player ~ Windows Administrator Blog

Monday, December 12, 2011

New Two Zero-Day Vulnerabilities Found In Adobe Flash Player

By dtp 3:58:00 PM No comments

พบ 2 ปัญหาช่วงโหว่ความปลอดภัยใหม่ใน Adobe Flash Player ยังไม่มีอัพเดทสำหรับแก้ไข (Zero-Day)
อะโดบีงานเข้าอีกแล้ว เมื่อมีรายงานว่า US-CERT หน่วยงานที่ดูแลด้านระบบคอมพิวเตอร์ของประเทศสหรัฐอเมริกาได้ค้นพบ 2 ช่องโหว่ความปลอดภัยที่ยังไม่มีการระบุรายละเอียด (Unspecified vulnerability) ในโปรแกรม Adobe Flash Player 11.1.102.55 โดยผลช่องโหว่ความปลอดภัยที่พบในครั้งนี้มีหมายเลขอ้างอิงเป็น CVE-2011-4694 และมีผลกระทบทั้ง Adobe Flash Player เวอร์ชันสำหรับระบบปฏิบัติการ Windows และ MAC OS X

ผลกระทบของช่องโหว่ความความปลอดภัยที่พบใน Adobe Flash Player ครั้งนี้ คือ ถ้าผู้ใช้ทำการเปิดไฟล์ Flash (.swf) ที่มีการฝังโค้ดอันตรายไว้ภายในด้วยโปรแกรมเวอร์ชันที่มีช่องโหว่ความปลอดภัยจะทำให้ Adobe Flash Player เกิดการแครชและเกิดช่องโหว่ที่แฮกเกอร์สามารถใช้เป็นช่องทางในการเข้าควบคุมเครื่องคอมพิวเตอร์ได้ ซึ่งจากการทดสอบ Penetration Test โดย Intevydis* ปรากฏว่าสามารถผ่านระบบป้องกันการโจมตีของ Windows อย่างเช่น Data Execution Prevention (DEP) และ Address space layout randomization (ASLR) และหนีออกจากกระบะทรายของ Internet Explorer ได้สำเร็จ

ปัจจุบัน อะโดบียังไม่ได้ยืนยันหรือแจ้งเตือนปัญหานี้อย่างเป็นทางการ แต่ถ้าหากมีช่องโหว่จริง (ซึ่งน่าจะมีจริงเพราะข้อมูลจาก US-CERT นั้นมีความน่าเชื่อถือสูง) ตามรายงานของ US-CERT จะทำให้เป็น ช่องโหว่ความปลอดภัยแบบ Zero-Day และส่งผลให้ผู้ใช้โปรแกรม Adobe Flash Player ต้องตกอยู่ในความเสียงต่อการถูกโจมตีจนกว่าจะมีการออกอัพเดทสำหรับแก้ไข

ทั้งนี้ อะโดบีเพิ่งประกาศเตือนผู้ใช้ Adobe Reader และ Adobe Acrobat ให้ระวังการโจมตีจากแฮกเกอร์และมัลแวร์ผ่านทางปัญหาช่องโหว่ความปลอดภัย U3D memory corruption (หมายเลขอ้างอิง CVE-2011-2462) ไปเมื่อวันที่ 6 ธันวาคม 2554 ที่ผ่านมา โดยอ่านรายละเอียดเพิ่มเติมได้ที่ ผู้ใช้ Adobe Reader และ Acrobat เสี่ยงต่อการถูกโจมตีแบบ Zero-Day

หมายเหตุ: Intevydis เป็นบริษัทวิจัยด้านความปลอดภัยในระบบคอมพิวเตอร์ในประเทศรัสเซีย และเป็นบริษัทที่ริเริ่มแนวคิด "no more free bugs" ซึ่งจะคิดค่าบริการในการเปิดเผยรายละเอียดข้อผิดพลาดของโปรแกรมจากบริษัทผู้พัฒนา

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

ดาวน์โหลด Flash Player 11.8.800.175 for Internet Explorerอะโดบีออก Flash Player 11.8.800.175 เวอร์ชันสำหรับ Internet Explorer เพื่อแก้ปัญหาการทำงานของ ExternalInterface API คือ [External][Windows][IE] ExternalInterface.call(), [Windows][IE] ExternalInterface.call() และ [Windows][IE… Read More
Windows 8 มีผู้ใช้ 7.41%, Windows 7 ยังเป็น OS อันดับ 1 (สิงหาคม 2556)เมื่อสิ้นเดือนสิงหาคมนั้นหมายความว่าเหลือเวลาอีก 1 เดือน 18 วันก่อนการออก Windows 8.1 ในขณะที่ Windows 8 ที่ออกมาครบ 10 เดือนเต็มนั้นมีผู้ใช้เพิ่มขึ้นเป็น 7.41% ซึ่งเป็นการเพิ่มขึ้นอย่างมีนัยสำคัญในรอบหลายเดือน ในขณะที่ Windo… Read More
ไมโครซอฟท์เปิดให้ดาวน์โหลด Microsoft Security Essentials Prereleaseไมโครซอฟท์เปิดให้ผู้สนใจดาวน์โหลดโปรแกรม Microsoft Security Essentials Prerelease (MSE Prerelease) ซึ่งเป็นเวอร์ชันทดลองใช้ก่อนออกเวอร์ชันเต็มของโปรแกรมแอนตี้ไวรัสและแอนตี้สปายแวร์เวอร์ชันถัดไปแล้ว ปัจจุบันยังไม่มีรายละเอียดก… Read More
Adobe ออก Flash Player 11.8.800.168 เพื่อปิดช่องโหว่ความปลอดภัยร้ายแรง 4 จุด, มีผลกระทบกับ IE, Firefox และ Chromeอะโดบีออก Flash Player 11.8.800.168 สำหรับ Windows และ Mac เพื่อปิดช่องโหว่ความปลอดภัยร้ายแรงวิกฤต 4 จุดที่เกิดจากปัญหา Memory corruption ซึ่งมีผลกระทบต่อเสถียรภาพการทำงานของโปรแกรมประยุกต์ที่ทำให้เกิดช่องโหว่ที่สามารถใช้ควบค… Read More
ไมโครซอฟท์เตรียมปิดช่องโหว่ร้ายแรงใน Internet Explorer, Windows และ Exchange Server ใน Patch Tuesday เดือนสิงหาคมไมโครซอฟท์ประกาศรายละเอียดการออกอัปเดทความปลอดภัย (Security Update หรือ Patch Tuesday) ของเดือนสิงหาคม 2556 แล้ว ซึ่งจะมีจำนวนทั้งหมด 8 ตัว โดยเป็นอัปเดทสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤต 3 ตัว ที่เหลือเป็นอัปเดทสำ… Read More