CERT Advisory CA-2008-04 (Technical Cyber Security Alert TA08-043A)
Adobe Reader and Acrobat Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA08-043A.html
เรียบเรียงโดย: ณัฐพงษ์ แสงเลิศศิลปชัย

ระบบที่ได้รับผลกระทบ

• Adobe Reader เวอร์ชัน 8.1.1 และเวอร์ชันก่อนหน้า
  
• Adobe Acrobat Professional, 3D, และ Standard เวอร์ชัน 8.1.1 รวมถึงเวอร์ชันก่อนหน้า

กล่าวโดยทั่วไป

Adobe ได้เผยแพร่ Security advisory APSA08-01 ที่ระบุถึงช่องโหว่ต่างๆ ของ Adobe Reader และ Acrobat โดยผลกระทบที่รุนแรงที่สุดอาจทำให้ผู้บุกรุกภายนอกระบบเรียกใช้คำสั่งบนระบบได้

I. คำอธิบาย

Adobe Security advisory APSA08-01 ระบุถึงช่องโหว่จำนวนหนึ่งที่มีผลกระทบต่อโปรแกรมในตระกูล Adobe Acrobat รวมถึงโปรแกรม Adobe Reader ตั้งแต่ Acrobat เวอร์ชันเก่าจนถึงเวอร์ชัน 8.1.1 รายละเอียดเพิ่มเติมสามารถศึกษาได้จาก Vulerability Notes Database ของ US-CERT

ผู้บุกรุกสามารถโจมตีช่องโหว่เหล่านี้ได้โดยหลอกลวงผู้ใช้ให้ทำการเปิดเอกสารในรูปแบบ Adobe Portable Document Format (PDF) ซึ่งสร้างขึ้นมาเป็นพิเศษเพื่อบุกรุก นอกจากนั้นการที่โปรแกรมเว็บบราวเซอร์ส่วนใหญ่สามารถเรียกใช้ Acrobat ในการเปิดเอกสาร PDF ได้ ทำให้การเปิดเว็บไซต์ต่างๆ อาจเป็นการเรียกให้ Acrobat เปิดเอกสาร PDF ด้วย

มีช่องโหว่อย่างน้อยหนึ่งช่องโหว่สามารถใช้ในการโจมตีจริง สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ Handler's Diary ของ SANS Internet Storm Center

II. ผลกระทบ

ผลกระทบจากช่องโหว่เหล่านี้มีหลากหลาย โดยผลกระทบที่รุนแรงที่สุดอาจทำให้ผู้บุกรุกภายนอกระบบเรียกใช้คำสั่งบนระบบได้

III. วิธีแก้ไข

เปลี่ยนไปใช้เวอร์ชันที่ใหม่กว่า (อัพเกรด)

อัพเกรด Adobe Reader หรือ Acrobat ไปเป็นเวอร์ชัน 8.1.2 โดยอ้างอิงตามข้อมูลใน Adobe Security advisory APSA08-01

ยกเลิกการแสดงเอกสาร PDF บนโปรแกรมเว็บบราวเซอร์

การป้องกันการเปิดเอกสาร PDF จากเว็บบราวเซอร์ช่วยลดโอกาสการถูกโจมตีจากช่องโหว่นี้ การปฏิบัติตามขั้นตอนแก้ไขด้านล่างร่วมกับการอัพเกรดเวอร์ชันช่วยป้องกันการโจมตีอัตโนมัติมาที่ช่องโหว่ที่คล้ายกัน

การป้องกันไม่ให้เอกสาร PDF ถูกเปิดด้วย Acrobat หรือ Reader ในเว็บบราวเซอร์:

1. เปิดโปรแกรม Adobe Acrobat หรือ Adobe Reader
2. ไปที่เมนู Edit
3. เลือกหัวข้อ Preferences
4. เลือกในส่วน Internet
5. นำเครื่องหมายถูกออกจากช่อง "Display PDF in browser"

ยกเลิกการเปิดเอกสาร PDF โดยอัตโนมัติในเว็บบราวเซอร์ Microsoft Internet Explorer

การยกเลิกการเปิดไฟล์ PDF โดยอัตโนมัติในเว็บบราวเซอร์ Microsoft Internet Explorer (IE) นอกจากต้องตั้งค่า IE ให้เตือนผู้ใช้ก่อนทำการเปิดไฟล์ PDF โดยยกเลิก "Display PDF in browser" แล้ว ยังต้องเปลี่ยนแปลงค่าในรีจิสทรีของวินโดวส์ที่:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\AcroExch.Document.7]
"EditFlags"=hex:00,00,00,00

ยกเลิกการใช้งานจาวาสคริปต์ใน Adobe Reader และ Acrobat

การยกเลิกการใช้งานจาวาสคริปต์ใน Adobe Reader และ Acrobat ช่วยป้องกันช่องโหว่นี้จากการถูกโจมตี ซึ่งใน Acrobat Reader สามารถยกเลิกการใช้งานจาวาสคริปต์ได้ที่ General preferences (เมนู Edit -> Preferences -> JavaScript, ยกเลิกการเลือก "Enable Acrobat JavaScript")

IV. เอกสารอ้างอิง

• US-CERT Vulnerability Notes for Adobe Security advisory APSA08-01 - <http://www.kb.cert.org/vuls/byid?searchview&query=APSA08-01>
  
• Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/>
  
• Adobe Security Advisory APSA08-01 - <http://www.adobe.com/support/security/advisories/apsa08-01.html>
  
• Adobe Reader 8.1.2 Release Notes - <http://www.adobe.com/go/kb403079>
  
• SANS Internet Storm Center Handler's Diary - <http://isc.sans.org/diary.html?storyid=3958>
  
• Configuring Windows Explorer - Registry EditFlags - <http://mc-computing.com/WinExplorer/WinExplorerEditFlags.htm>
  
• Internet Explorer Opens .exe Files Instead of Downloading Them - <http://support.microsoft.com/kb/140991>
  
• Office Documents opening in IE - <http://blogs.msdn.com/omars/archive/2004/04/29/123181.aspx>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์