Monday, October 31, 2016

Adobe ออก Flash Player 23.0.0.205 แพตช์ช่องโหว่ CVE-2016-7855 ที่แฮกเกอร์ใช้โจมตีผู้ใช้แล้ว

[26 ตุลาคม 2559 ตามเวลาในสหรัฐอเมริกา] Adobe ออก Flash Player 23.0.0.205 เพื่อแพตช์ช่องโหว่ความปลอดภัย CVE-2016-4171 ที่มีผลกระทบรุนแรงระดับ Critical ซึ่งมีรายงานว่าถูกแฮกเกอร์ใช้โจมตี (ในวงจำกัด) ผู้ใช้แล้ว

สำหรับช่องโหว่ CVE-2016-7855 เป็นช่องโหว่ชนิด use-after-free โดยจะพบใน Flash Player 23.0.0.185 และเก่ากว่า (ดูรายชื่อเวอร์ชันที่ได้รับผลกระทบด้านล่าง) ทั้งในเวอร์ชันสำหรับ Windows, Macintosh, Linux และ Chrome OS ช่องโหว่นี้ทำให้โปรแกรมทำงานล้มเหลวเมื่อมีการโจมตีด้วยข้อมูลชนิดพิเศษ ถ้าหากการโจมตีประสบความสำเร็จผู้โจมตีจะสามารถเข้ายึดระบบได้อย่างสมบูรณ์และสามารถรันโค้ดโดยไม่ได้รับอนุญาตได้ (Arbitrary Code Execution) โดย Adobe ได้รับรายงานว่ามีการโจมตี (ในวงจำกัด) ผู้ใช้ Flash Player เกิดขึ้นแล้ว โดยเป้าหมายการโจมตีเป็นผู้ใช้บน Windows 7, 8.1 และ 10

โปรแกรม Flash Player เวอร์ชันที่ได้รับผลกระทบ
รายชื่อโปรแกรม Flash Player เวอร์ชันที่ได้รับผลกระทบ ดังต่อไปนี้
  • Flash Player 23.0.0.185 และเก่ากว่าเวอร์ชันสำหรับ IE และ Edge บน Windows
  • Flash Player 23.0.0.185 และเก่ากว่าเวอร์ชันสำหรับ Firefox บน Windows
  • Flash Player 23.0.0.185 และเก่ากว่าเวอร์ชันสำหรับ Chrome
  • Flash Player 23.0.0.185 และเก่ากว่าเวอร์ชันสำหรับ Mac
  • Flash Player 11.2.202.637 และเก่ากว่าเวอร์ชันสำหรับ Linux

Adobe แนะนำให้ผู้ใช้ Flash Player บนทุกแฟลตฟอร์มดำเนินการดังนี้
  • ผู้ใช้ Internet Explorer บน Windows ให้อัปเดตเป็น Flash Player 23.0.0.205
  • ผู้ใช้ Firefox บน Windows ให้อัปเดตเป็น Flash Player 23.0.0.205
  • ผู้ใช้ Internet Explorer 10 บน Windows 8 และ Windows Server 2012 จะได้รับการอัปเดต Flash Player โดยอัตโนมัติผ่านทาง Windows Update
  • ผู้ใช้ Internet Explorer 11 บน Windows 8.1 และ Windows Server 2012 R2 จะได้รับการอัปเดต Flash Player โดยอัตโนมัติผ่านทาง Windows Update
  • ผู้ใช้ Internet Explorer 11 และ Edge และ Windows 10 จะได้รับการอัปเดต Flash Player โดยอัตโนมัติผ่านทาง Windows Update
  • ผู้ใช้เบราเซอร์ plugin-based บน Windows และ Mac ให้อัปเดตเป็น Flash Player 23.0.0.205
  • ผู้ใช้ Google Chrome จะได้รับการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ
  • ผู้ใช้เบราเซอร์ plugin-based เช่น Firefox เป็นต้น บน Linux ให้อัปเดตเป็น Flash Player 11.2.202.643

วิธีอัปเดต Flash Player
สำหรับผู้ใช้เดิมแล้วตามปกติโปรแกรม Adobe Update Manager จะทำการอัปเดตให้โดยอัตโนมัติ (ขึ้นอยู่กับการตั้งค่าการอัปเดต) แต่ถ้าได้รับการแจ้งให้อัปเดตเวอร์ชันใหม่ (กรณีไม่ได้ตั้งให้ทำการอัปเดตอัตโนมัติ) ผู้ใช้สามารถทำการอัปเดตโดยการคลิก Install แล้วทำตามขั้นตอนบนหน้าจอจนการติดตั้งแล้วเสร็จ

นอกจากนี้ ผู้ใช้ IE และ Firefox สามารถทำการอัปเดตเป็น Flash Player 23 ได้โดยใช้เว็บบราวเซอร์เปิดไปที่เว็บไซต์ Get Flash Player จากนั้นคลิก Install now แล้วทำตามขั้นตอนบนจอจนการติดตั้งแล้วเสร็จ


ตรวจสอบเวอร์ชัน Flash Player ได้ที่ About Flash Player

สำหรับผู้ใช้ IE10 บน Windows Server 2012, IE11 บน Windows 8.1 และ Windows Server 2012 R2 และ IE11/Edge บน Windows 10 จะได้รับการอัปเดต Flash Player โดยอัตโนมัติผ่านทาง Windows Update

สำหรับผู้ใช้ Google Chrome จะได้รับการอัปเดตเป็นเวอร์ชันใหม่ซึ่งใช้ Flash Player เวอร์ชันล่าสุดโดยอัตโนมัติ

การปรับปรุงความปลอดภัยใน Flash Player 23.0.0.205
Flash Player 23.0.0.205 แก้ปัญหาช่องโหว่ความปลอดภัย CVE-2016-7855 อ่านรายละเอียดเพิ่มเติมได้ที่ APSB16-36 (En)

แหล่งข้อมูลอ้างอิง
Adobe PSIRT Blog

Copyright © 2016 TWA Blog. All Rights Reserved.

0 Comment: