สำหรับช่องโหว่ CVE-2013-0633 นั้นมีผลกระทบกับผู้ใช้ Flash Player (ActiveX) เวอร์ชันสำหรับ Internet Explorer บน Windows โดยปัจจุบันอะโดบีได้รับรายงานการโจมตีผู้ใช้ Flash Player ผ่านทางช่องโหว่ดังกล่าวนี้แล้ว โดยผู้โจมตีใช้วิธีการฝังโค้ดอันตรายในเนื้อหา Flash (SWF) ในไฟล์เอกสาร Microsoft Word และทำการส่งถึงเหยื่อทางอีเมล ถ้าเหยื่อทำการเปิดไฟล์ดังกล่าวจะทำให้ถูกโจมตีในทันที
ส่วนช่องโหว่ CVE-2013-0634 นั้นมีผลกระทบกับผู้ใช้ Flash Player สำหรับ Firefox หรือ Safari บน Mac OS โดยปัจจุบันอะโดบีได้รับรายงานการโจมตีผู้ใช้ Flash Player ผ่านทางช่องโหว่ดังกล่าวนี้แล้วเช่นกัน โดยผู้โจมตีใช้วิธีการเผยแพร่เนื้อหา Flash (SWF) ที่แฝงโค้ดอันตรายผ่านทางเว็บไซต์ ถ้าเหยื่อทำการเปิดเว็บไซต์ดังกล่าวจะทำให้ถูกโจมตีในทันที
ในทั้ง 2 กรณี ถ้าการโจมตีประสบความสำเร็จ ผู้โจมตีจะสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ได้อย่างสมบูรณ์
Flash Player เวอร์ชันที่ได้รับผลกระทบ
รายชื่อ Flash Player เวอร์ชันที่ได้รับผลกระทบมีดังต่อไปนี้
- Flash Player 11.5.502.136 และเก่ากว่าเวอร์ชันสำหรับ Windows
- Flash Player 11.5.502.136 และเก่ากว่าเวอร์ชันสำหรับ Mac OS
- Flash Player 11.2.202.261 และเก่ากว่าเวอร์ชันสำหรับ Linux
- Flash Player 11.1.115.36 และเก่ากว่าเวอร์ชันสำหรับ Android 4.x
- Flash Player 11.1.111.31 และเก่ากว่าเวอร์ชันสำหรับ Android 3.x และ Android 2.x
วิธีการป้องกันการโจมตีจากมัลแวร์และแฮกเกอร์
อะโดบีแนะนำให้ผู้ใช้ Flash Player บน Windows, Mac และ Linux ดำเนินการดังนี้
- ผู้ใช้ Internet Explorer และเบราเซอร์แบบ plugin-based เช่น Firefox และ Safari เป็นต้น บน Windows ให้อัพเดทเป็น Flash Player 11.5.502.149
- ผู้ใช้ Internet Explorer 10 บน Windows 8 และ Windows Server 2012 ให้ติดตั้งอัพเดท KB2811522 เพื่ออัพเดทเป็น Flash Player 11.3.379.14
- ผู้ใช้เบราเซอร์ plugin-based เช่น Firefox และ Safari เป็นต้น บน Mac ให้อัพเดทเป็น Flash Player 11.5.502.149
- ผู้ใช้เบราเซอร์ plugin-based เช่น Firefox เป็นต้น บน Linux ให้อัพเดทเป็น Flash Player 11.2.202.262
- ผู้ใช้ Flash Player บน Android 4.x และเก่ากว่า ให้อัพเดทเป็น Flash Player 11.1.115.37
- ผู้ใช้ Flash Player บน Android 3.x และเก่ากว่า ให้อัพเดทเป็น Flash Player 11.1.111.32
- ผู้ใช้ Google Chrome จะได้รับการอัพเดทเป็นเวอร์ชันใหม่ซึ่งมาพร้อม Flash Player 11.5.31.137 โดยอัตโนมัติ (เวอร์ชันเต็มตัวปัจจุบัน: Google Chrome 24.0.1312.57 Stable)
วิธีอัพเดท Flash Player
การอัพเดท Flash Player นั้นโดยปกติแล้วโปรแกรม Adobe Update Manager จะแจ้งให้ผู้ใช้ทราบเมื่อมีการออกอัพเดทเวอร์ชันใหม่โดยการแสดงหน้าไดอะล็อกบ็อกซ์ Update Adobe Flash Player ดังภาพที่ 1 ซึ่งผู้ใช้สามารถทำการอัพเดทโดยการคลิก Install จากนั้น ในหน้าไดอะล็อกบ็อกซ์ Adobe Flash Player 11.5 Installer ดังภาพที่ 2 ให้เลือกเช็คบ็อกซ์หน้า I have read and agree to the terms of the Flash Player License Agreement. เสร็จแล้วคลิก Install แล้วรอจนการติดตั้งแล้วเสร็จ (ต้องปิดโปรแกรมเว็บเบราเซอร์ในขณะที่ทำการติดตั้ง)
ภาพที่ 1 Update Adobe Flash Player
ภาพที่ 2 Adobe Flash Player 11.5 Installer
นอกจากนี้ ผู้ใช้ IE และ Firefox สามารถทำการอัพเดทเป็น Flash Player 11.5.502.149 ด้วยตนเองได้โดยใช้เว็บบราวเซอร์เปิดไปที่เว็บไซต์ Get Flash Player จากนั้นคลิก Download now แล้วดำเนินการตามขั้นตอนบนจอภาพจนการติดตั้งแล้วเสร็จ หรือดาวน์โหลดอัพเดทมาทำการติดตั้งด้วยตนเองได้จากเว็บไซต์ด้านล่าง
- ศูนย์ดาวน์โหลด Adobe Flash Player Flash Player Download Center
- ผู้ใช้ Android* สามารถอ่านวิธีการอัพเดท Flash Player ได้ที่ How to install Flash Player on Android device
ภาพที่ 3 Flash Player 11.5.502.149 (Internet Explorer 9)
*เฉพาะผู้ใช้ที่ติดตั้ง Flash Player ก่อน 15 สิงหาคม 2555
คุณลักษณะใหม่ใน Flash Player 11.5.502.149
Flash Player 11.5.502.149 มีคุณลักษณะใหม่, ปรับปรุงการทำงาน และแก้ปัญหาความปลอดภัย ดังต่อไปนี้
คุณลักษณะใหม่:
- ไม่มี
ปรับปรุงการทำงาน:
- A Windows ActiveX exploit that tricks users into opening a Microsoft Word document delivered as an email attachment which contains malicious Flash (SWF) content (3492336).
- Firefox & Safari crash reported (3493470).
Flash Player 11.5.502.149 มีการปรับปรุงปัญหาความปลอดภัยดังต่อไปนี้
- Fixed a buffer overflow vulnerability that could lead to code execution (CVE-2013-0633).
- Fixed a memory corruption vulnerability that could lead to code execution (CVE-2013-0634).
แหล่งข้อมูลอ้างอิง:
Adobe Flash Player 11.5 Release Notes
Security Bulletin APSB13-04
บทความโดย: TWA Blog
Copyright © 2013 TWA Blog. All Rights Reserved.
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML