ThaiCERT : Advisories & Alerts : CERT : CA-2007-24

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2007-24 (Technical Cyber Security Alert TA07-192A)
Adobe Flash Player Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-192A.html
เรียบเรียงโดย: ณัฐพงษ์ แสงเลิศศิลปชัย

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Microsoft Windows, Apple Mac OS X, Linux, Solaris หรือระบบปฏิบัติการอื่นๆ ที่ติดตั้งผลิตภัณฑ์ของ Adobe ดังนี้

Flash Player 9.0.45.0
Flash Player 9.0.45.0 และรุ่นก่อนหน้าที่ถูกเผยแพร่ทางระบบเครือข่าย
Flash Basic
Flash CS3 Professional
Flash Professional 8, Flash Basic
Flex 2.0
Flash Player 7.070.0 สำหรับ Linux หรือ Solaris

สำหรับรายละเอียดเพิ่มเติม สามารถดูได้ที่ Adobe Security Bulletin APSB07-12

กล่าวโดยทั่วไป

ตรวจพบช่องโหว่ที่มีระดับความสำคัญสูงจำนวนหนึ่งในโปรแกรม Adobe Flash Player และโปรแกรมที่เกี่ยวข้อง การโจมตีโดยอาศัยช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกภายนอกสามารถสั่งรันคำสั่งได้จากระยะไกลหรือทำให้ระบบที่มีช่องโหว่ปฏิเสธการให้บริการได้ โดยไม่จำเป็นต้องทำการพิสูจน์ตัวตน

I. คำอธิบาย

Adobe Security Bulletin APSB07-12 ได้กล่าวถึงช่องโหว่จำนวนหนึ่งได้โปรแกรม Adobe Flash Player และโปรแกรมที่เกี่ยวข้อง รายละเอียดเพิ่มเติมมีอยุ่ที่ US-CERT Vulnerability Notes database

ระบบปฏิบัติการหลายระบบรวมทั้ง Microsoft Windows และ Apple OS X ได้ติดตั้งโปรแกรม Flash รุ่นที่มีช่องโหว่มาพร้อมกับตัวระบบปฏิบัติการ นอกจากนี้ระบบที่ติดตั้งเว็บบราวเซอร์ซึ่งสามารถเปิดดูไฟล์ Flash ได้ก็ถือว่ามีช่องโหว่เช่นกัน ในการโจมตีช่องโหว่นี้ ผู้บุกรุกสามารถสร้างไฟล์ Flash แบบพิเศษสำหรับโจมตีช่องโหว่ไปไว้เป็นเว็บไซต์ จากนั้นจึงล่อลวงให้เป้าหมายเข้าชมเว็บไซต์นั้น

II. ผลกระทบ

ผู้บุกรุกภายนอกสามารถสั่งรันคำสั่งด้วยสิทธิของผู้ใช้จากระยะไกล, ขโมยชื่อผู้ใช้และรหัสผ่าน หรือทำให้ระบบปฏิเสธให้บริการได้โดยที่ไม่ต้องทำการพิสูจน์ตัวตน หากผู้ใช้เข้าใช้งานระบบด้วยสิทธิผู้ดูแลระบบ ผู้บุกรุกจะสามารถควบคุมระบบได้ทั้งระบบ

III. วิธีแก้ไข

ทำการอัพเดตโปรแกรม

รายละเอียดเรื่องโปรแกรมซ่อมแซมช่องโหว่หรือการอัพเดตโปรแกรมให้ตรวจสอบกับผู้ขายของท่าน สำหรับข้อมูลเกี่ยวกับผู้ขายที่เฉพาะเจาะจง ตรวจสอบได้จากส่วน Systems Affected ในข้อมูลของแต่ละช่องโหว่ หรือติดต่อผู้ขายของท่านโดยตรง หากท่านได้รับ flash player จาก Adobe ให้ตรวจสอบข้อมูลเกี่ยวกับการอัพเดตโปรแกรมที่หน้า Adobe Get Flash

ยกเลิกการใช้งาน Flash

ผู้ใช้ที่ไม่สามารถติดตั้งโปรแกรมซ่อมแซมช่องโหว่ควรยกเลิกการใช้งาน Flash โดยปรึกษาผู้ขายสินค้าหรือดรายละเอียดเพิ่มเติมที่ US-CERT Vulnerability Notes VU#110297, VU#730785, หรือ VU#138457

IV. เอกสารอ้างอิง

Adobe - APSB07-12: Flash Player update available to address security vulnerabilities - <http://www.adobe.com/support/security/bulletins/apsb07-12.html>
US-CERT Vulnerability Notes Database - <http://www.kb.cert.org/vuls/byid?searchview&query=VU%23138457,VU%23110297,VU%23730785>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์