Adobe แก้ไขช่องโหว่ในแอพพลิเคชั่น Creative Cloud

Adobe ได้เผยแพร่แพตช์ความปลอดภัยสำหรับแอปพลิเคชัน Creative Cloud Desktop โดย Adobe ระบุว่ามีการค้นพบช่องโหว่ระดับ 'Critical' ในแอพพลิเคชั่น Creative Cloud Desktop ที่จะทำให้ผู้โจมตีสามารถลบไฟล์บนคอมพิวเตอร์ได้โดยกระทบกับ Creative Cloud Desktop แอพพลิเคชั่นก่อนเวอร์ชัน 5.1

รายละเอียดช่องโหว่

CVE-2020-3808: ช่องโหว่จัดอยู่ในประเภท Time-of-check Time-of-use (TOCTOU) ทำให้ผู้โจมตีจากระยะไกล (REC) สามารถเข้ามาลบไฟล์บนระบบได้โดยพลการ

การเเก้ไขช่องโหว่

ผู้ใช้ควรอัพเกรดเป็น Adobe Creative Cloud Desktop Application เวอร์ชัน 5.1

ที่มา : adobe-fixes-critical-vulnerability-in-creative-cloud-application

Adobe addresses 42 flaws in its five products

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์ 2020

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์เพื่อแก้ไข 42 ช่องโหว่ใน 5 ผลิตภัณฑ์ ได้แก่ Framemaker, Acrobat รวมถึง Reader, Flash Player, Digital Editions และ Experience Manager

ช่องโหว่ใน Framemaker ส่วนใหญ่ถูกจัดอยู่ในความรุนแรงระดับ Critical และมีผลกระทบกับ Framemaker บนระบบปฏิบัติการ Windows โดยช่องโหว่ที่พบคือ buffer overflow, heap overflow, out-of-bounds write, และ memory corrupt flaws ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วยสิทธิของผู้ใช้งานปัจจุบันได้

นอกจากนี้ทาง Adobe ยังกล่าวถึงช่องโหว่อีก 17 ช่องโหว่ของผลิตภัณฑ์ Acrobat รวมถึง Reader ในระบบปฏิบัติการ Windows และ MasOs ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical 2 ช่องโหว่ ได้แก่ช่องโหว่ memory corruption ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ privilege escalation bugs ที่อนุญาตให้ผู้โจมตีสามารถเขียนไฟล์ที่เป็นอันตรายไปยังระบบได้ ในส่วนของข้อบกพร่องที่เหลืออยู่ใน Acrobat and Reader ถูกจัดลำดับความรุนแรงในระดับปานกลางได้แก่ช่องโหว่ memory leaks และช่องโหว่ information disclosure ข้อบกพร่องถูกรายงานไปยัง Adobe โดยผู้เชี่ยวชาญอิสระและนักวิจัยจาก Qihoo 360, Tencent, Renmin University of China, Cisco Talos, the Chinese Academy of Sciences, Baidu, และ McAfee

นอกจากนี้ทาง Adobe ยังเปิดเผยถึงช่องโหว่ arbitrary code execution ใน Flash Player ซึ่งหากผู้โจมตีสามารถรันคำสั่งแปลกปลอมด้วยสิทธิของผู้ใช้งานปัจจุบัน รวมถึงช่องโหว่ใน Digital Editions ได้แก่ ช่องโหว่ command injection bug, information disclosure และช่องโหว่ denial-of-service (DoS) ที่ส่งผลกระทบกับ Adobe Experience Manager เวอร์ชั่น 6.5 และ 6.4

โดยทาง Adobe ยื่นยันว่ายังไม่พบการโจมตีผ่านช่องโหว่ทั้งหมดนี้เกิดขึ้น

ที่มา : securityaffairs

Adobe ออกแพตช์อัปเดตด้านความปลอดภัยประจำเดือนธันวาคม 2019 เพื่อแก้ไข 21 ช่องโหว่ใน Acrobat,Reader, Brackets, Photoshop และ ColdFusion

 

Adobe ออกแพตช์เพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Critical ในอุปกรณ์ดังนี้

แก้ไขช่องโหว่ memory corruption ใน Photoshop CC ส่งผลกระทบทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วย User ที่ใช้งานอยู่
แก้ไขช่องโหว่ command injection ใน Brackets โดย Tavis Ormandy นักวิจัยด้านความปลอดภัยจาก Google Project Zero เบื้องต้นผู้เชี่ยวชาญยังไม่ได้ให้รายละเอียดใดๆ เกี่ยวกับช่องโหว่ดังกล่าว
แก้ไขช่องโหว่ Privilege escalation ใน ColdFusion ที่เกิดจากการเข้าถึงโฟลเดอร์ที่ไม่ปลอดภัยจากค่าเริ่มต้น บริษัทตั้งข้อสังเกตว่าผู้ใช้ที่ปฏิบัติตามขั้นตอน lockdown ระหว่างการติดตั้งจะไม่ได้รับผลกระทบดังกล่าว

Adobe กล่าวว่ายังไม่พบหลักฐานว่าข้อผิดพลาดเหล่านี้ถูกนำไปใช้ในทางไม่ดีและได้ทำการแจ้งลูกค้าว่าการสนับสนุน Acrobat 2015 และ Reader 2015 จะสิ้นสุดในวันที่ 7 เมษายน 2020 และผลิตภัณฑ์จะไม่ได้รับแพตช์รักษาความปลอดภัยอีกต่อไปหลังจากนั้น

ที่มา securityweek

Unsecured Adobe Server Exposes Data for 7.5 Million Creative Cloud Users

บริษัทซอฟท์แวร์คอมพิวเตอร์ของสหรัฐอเมริกาชื่อ Adobe ประสบปัญหาด้านการรักษาความปลอดภัยอย่างรุนแรงเมื่อช่วงต้นเดือนที่ผ่านมา ซึ่งมีการเปิดเผยข้อมูลของผู้ใช้งาน จากบริการ Creative Cloud ที่เป็นนิยมในตอนนี้ ด้วยจำนวนสมาชิกที่ใช้บริการประมาณ 15 ล้านคน

Adobe Creative Cloud หรือ Adobe CC เป็นการบริการให้สมาชิกสามารถใช้งานซอฟต์แวร์ของ Adobe ได้โดยการเช่า เช่น Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom และอีกมากมาย

เมื่อต้นเดือนนี้ Bob Diachenko นักวิจัยด้านความปลอดภัยได้ร่วมมือกับบริษัทด้านความปลอดภัยทางไซเบอร์ Comparitech ค้นพบฐานข้อมูล Elasticsearch ที่ไม่มีการตั้งรหัสผ่านของบริการ Adobe Creative Cloud ที่ทุกคนสามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านหรือผ่านการตรวจสอบ

ข้อมูลที่เปิดเผยจากฐานข้อมูลซึ่งขณะนี้มีข้อมูลส่วนตัวของบัญชีผู้ใช้งาน Adobe Creative Cloud อยู่เกือบ 7.5 ล้านบัญชี ข้อมูลที่ถูกเปิดเผยจากบริการ Creative Cloud ได้แก่ ที่อยู่อีเมล วันที่สมัครสมาชิก ผลิตภัณฑ์ Adobe ที่สมัครเป็นสมาชิก สถานะการสมัครสมาชิก สถานะการชำระเงิน รหัสสมาชิก ประเทศ เวลาการเข้าสู่ระบบล่าสุด และสมาชิกดังกล่าวเป็นพนักงานของ Adobe หรือไม่

ไม่มีข้อมูลทางการเงินรั่วไหล แต่จากข้อมูลที่รั่วไหลออกมา สามารถนำข้อมูลผู้ใช้งาน Adobe Creative Cloud ไปทำอีเมลฟิชชิงเพื่อหลอกลวงผู้ใช้งานได้ Comparitech กล่าวในบล็อกโพสต์" อาชญากรไซเบอร์อาจทำตัวเหมือน Adobe หรือ บริษัท ที่เกี่ยวข้องและหลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัวเช่น รหัสผ่านส่วนตัว

Diachenko ที่ค้นพบฐานข้อมูลที่รั่วไหลแจ้งให้ Adobe ทราบทันทีในวันที่ 19 ตุลาคม

บริษัท Adobe ได้มีมาตรการการแก้ไขปัญหาด้านความปลอดภัยที่เกิดขึ้นอย่างรวดเร็วโดยปิดการเข้าถึงฐานข้อมูลที่เป็นสาธารณะในวันเดียวกัน ตามรายงานของบล็อกที่เผยแพร่โดย Adobe ในวันศุกร์

ปลายสัปดาห์ที่แล้ว Adobe ได้ตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการทำงานที่เกิดขึ้นจากข้อผิดพลาด ได้มีการปิดระบบที่ที่มีการทำงานที่ผิดพลาดโดยทันทีเพื่อแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น

ปัญหานี้ไม่มีส่งผลกระทบต่อการทำงานของผลิตภัณฑ์หรือบริการหลักของ Adobe แต่อย่างใดแต่ทาง Adobe ได้มีการตรวจสอบกระบวนการพัฒนา เพื่อช่วยป้องกันปัญหาที่อาจจะเกิดขึ้นในอนาคต

สิ่งที่ผู้ใช้ควรทำ

ผู้ใช้ส่วนใหญ่ควรระวังอีเมลที่เป็นฟิชชิ่ง ซึ่งจะเป็นขั้นตอนต่อไปที่อาชญากรไซเบอร์ทำหลังจากได้ข้อมูลข้องผู้ใช้งาน เพื่อหลอกเอาข้อมูลส่วนตัวเช่นรหัสผ่านและข้อมูลทางการเงิน

แม้ว่าฐานข้อมูลจะไม่เปิดเผยข้อมูลทางการเงินใดๆ แต่ก็เป็นความคิดที่ดีที่ผู้ใช้งานควรจะระมัดระวังและคอยสังเกตการณ์ธนาคารของคุณและใบแจ้งยอดการชำระเงินการทำกิจกรรมทางการเงิน หากพบสิ่งที่ผิดปกติควรรีบแจ้งไปยังธนาคารทันที

Adobe ได้แนะนำให้ผู้ใช้งานเปิดการใช้งาน two-factor authentication เพื่อช่วยรักษาข้อมูลของผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น

ที่มา thehackernews

Adobe ออกแพตช์รักษาความปลอดภัยนอกรอบ แก้ 82 ช่องโหว่ในหลายผลิตภัณฑ์

 

Adobe ออกแพตช์รักษาความปลอดภัยนอกรอบ โดยผลิตภัณฑ์ที่ได้รับผลกระทบที่ได้รับแพตช์รักษาความปลอดภัยในปัจจุบัน ได้แก่ Adobe Acrobat, Adobe Reader, Adobe Experience Manager, Adobe Experience Manager Forms และ Adobe Download Manager

ช่องโหว่ทั้ง 82 ช่องโหว่มีช่องโหว่ความรุนแรงระดับ critical 45 ช่องโหว่ พบใน Adobe Acrobat และ Adobe Reader ทั้งหมด

นอกจากช่องโหว่ความรุนแรงระดับ critical ยังมีการแก้ไขช่องโหว่ระดับ important อีก 23 ช่องโหว่ใน Adobe Acrobat และ Adobe

ส่วน Adobe Experience Manager Forms ได้รับการแก้ไขโหว่ทั้งหมด 12 ช่องโหว่ Adobe Experience Manager Forms 2 ช่องโหว่ และ Adobe Download Manager 1 ช่องโหว่

ไม่มีการอัปเดต Adobe Flash Player ในแพตช์ครั้งนี้ แต่ควรตระหนักว่า Adobe จะหยุดให้บริการอัปเดตสำหรับ Flash Player ในสิ้นปี 2020

ขอแนะนำให้คุณดาวน์โหลดเวอร์ชันล่าสุดของซอฟต์แวร์ที่ได้รับผลกระทบและปรับใช้โปรแกรมแก้ไขโดยเร็วที่สุด

ที่มา thehackernews

Adobe ออกแพตช์นอกรอบแก้ช่องโหว่ command injection และ Path Traversal ใน ColdFusion

 

Adobe ออกแพตช์นอกรอบสำหรับแพลตฟอร์มการพัฒนาเว็บแอปพลิเคชัน ColdFusion แก้ช่องโหว่สามช่องโหว่ซึ่งรวมถึงช่องโหว่สองช่องที่จัดอยู่ในประเภท “critical”

ColdFusion 2016 อัปเดตเป็นเวอร์ชั่น 12 และ ColdFusion 2018 อัปเดตเป็นเวอร์ชั่น 5 เพื่อแก้ไขช่องโหว่การโจมตีในรูปแบบ path traversal ซึ่งทำให้หลบเลี่ยง access control ได้ (CVE-2019-8074) และแก้ช่องโหว่ command injection ซึ่งสามารถโจมตีเพื่อรันคำสั่งอันตรายได้ (CVE-2019-8073)

อีกช่องโหว่ที่ถูกแก้ไขเป็นช่องโหว่เปิดเผยข้อมูลโดยไม่จำเป็น ความร้ายแรงระดับ important

นักวิจัยจาก Foundeo, Knownsec 404 Team และ Aura Information Security ได้รับเครดิตในการค้นพบช่องโหว่เหล่านั้น

Adobe กล่าวว่ายังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้และเชื่อว่าจะยังไม่มีการโจมตีเร็วๆ นี้ อย่างไรก็ตามผู้ใช้ไม่ควรเพิกเฉยต่ออัปเดตแพตช์เนื่องจากเมื่อปีที่แล้วพบการโจมตีโดยใช้ช่องโหว่ใน ColdFusion

ที่มา securityweek

Adobe ปล่อยอัปเดทความปลอดภัยประจำเดือนเพื่อแก้ไขช่องโหว่สำหรับ Adobe Flash Player และ Adobe Application Manager (AAM)

อัปเดทล่าสุดสำหรับ Adobe Flash Player ในเดือนนี้ถูกระบุถึงสองช่องโหว่สำคัญและมีผลต่อ Windows, macOS, Linux, และ Chrome OS ทำให้เกิดการใช้โค้ดโดยพลการต่อผู้ใช้ ที่ทำให้ผู้โจมตีสามารถควบคุมระบบเป้าหมายได้อย่างสมบูรณ์ คือ Same-origin method execution (CVE-2019-8069) และ Use-after-free (CVE-2019-8070) ทั้งสองช่องโหว่ถูกรายงานโดยทีมนักวิจัยความปลอดภัย Adobe ที่ทำงานกับโครงการแพลตฟอร์ม Trend Micro Zero Day

Adobe ได้ปล่อยการอัปเดทความปลอดภัยสำหรับ Adobe Application Manager (AAM) ที่ทำงานบนวินโดว์ในการระบุช่องโหว่ Library Loading (DLL hijacking) ที่ไม่ปลอดภัยในการติดตั้ง ช่องโหว่นี้ถูกให้ความสำคัญระดับความรุนแรงและระบุเป็น CVE-2019-8076 ที่อาจนำไปสู่การใช้โค้ดอันตรายที่มีผลกระทบต่อระบบ

ผู้ใช้ Adobe ที่ได้รับผลกระทบสำหรับ Windows, macOS, Linux และ Chrome OS ควรต้องทำการอัปเดทให้เป็นเวอร์ชันล่าสุด

ถ้าระบบตรวจไม่พบการอัปเดทอัตโนมัติ คุณควรที่จะอัปเดทเองโดยการเลือก "Help → Check for Updates" บน Adobe ซอฟต์แวร์

ที่มา : thehackernews

Adobe Patch Tuesday for August 2019 fixed 119 flaws in 8 products

Adobe ออกแพตช์ประจำเดือนสิงหาคม 2019

Adobe ออกแพตช์ประจำเดือนสิงหาคม 2019 (Patch Tuesday) แก้ไข 119 ช่องโหว่ในหลายๆ ผลิตภัณฑ์ ส่งผลกระทบไม่ว่าจะเป็น Effects, Character Animator, Premiere Pro, Prelude, Creative Cloud, Acrobat and Reader, Experience Manager และ Photoshop ช่องโหว่ส่วนใหญ่ที่แก้ไขในเดือนนี้มีผลกระทบกับ Acrobat และ Reader สำหรับระบบปฏิบัติการ Windows และ macOS โดยสามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่ทั้งหมดได้จากประกาศของ Adobe https://blogs.

Adobe fixes critical security flaws in Flash, ColdFusion, Campaign

Adobe ทำการแก้ไขช่องโหว่ด้านความปลอดภัยบน Flash, ColdFusion และ Campaign Classic

Adobe ออกแพตช์แก้ไขประจำเดือนมิถุนายน 2019 ช่องโหว่ส่วนใหญ่ที่ถูกแก้นี้มักจะเป็นช่องโหว่ที่ทำให้รันโค้ดได้โดยไม่ได้รับอนุญาต

ใน Adobe Flash มีการแก้ไขเพียงช่องโหว่เดียวสำหรับซอฟต์แวร์รุ่น 32.0.0.192 และก่อนหน้าบนระบบ Windows, macOS, Linux และ Chrome OS คือช่องโหว่ CVE-2019-7845 ช่องโหว่ด้านความปลอดภัยที่ทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตได้

Adobe ColdFusion รุ่น 11 , 2016 และ 2018 มีแก้ไข 3 ช่องโหว่ คือ CVE-2019-7838, CVE-2019-7839 และ CVE-2019-7840 เป็นช่องโหว่ที่สามารถแนบไฟล์ที่เป็นอันตราย ช่องโหว่ command injection และช่องโหว่ที่ทำให้รันโค้ดที่ไม่ปลอดภัยโดยไม่ได้รับอนุญาตได้

และใน Adobe Campaign Classic แก้ไข 7ช่องโหว่ มีช่องโหว่ร้ายแรงมากคือ CVE-2019-7850 เป็นช่องโหว่ command injection ส่วนช่องโหว่อื่น CVE-2019-7843, CVE-2019-7941, CVE-2019-7846, CVE-2019-7848 และ CVE-2019-7849 สามารถทำให้ข้อมูลรั่วไหลได้ และ CVE-2019- 7847 ให้สิทธิ์ในการเข้าถึงอ่าน file system ได้

Adobe ได้ขอบคุณนักวิจัยจาก Zero Day Initiative ของ Trend Micro ทีม 404 Booz Allen Hamilton และโซลูชั่น Cyber ของ Aon สำหรับการรายงานช่องโหว่ต่างๆ ในแพตช์ครั้งนี้

ผู้ใช้ควรทำการ update patch เพื่อหลีกเลี่ยงการโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา:zdnet

Adobe Addresses Critical Adobe Flash Player, Acrobat Reader Flaws

Adobe แก้ไขช่องโหว่จำนวน 87 ช่องโหว่ในแพตช์ประจำเดือน (Patch Tuesday) ส่วนใหญ่อยู่ในผลิตภัณฑ์ Adobe Acrobat และ Adobe Reader

จากช่วงโหว่จำนวน 87 ช่องโหว่ที่อยู่ภายในผลิตภัณฑ์ Adobe Acrobat, Adobe Reader,Adobe Flash Player และ Adobe Media Encoder มีช่องโหว่ในระดับควรอัปเดต (important) 36 ช่องโหว่ และช่องโหว่ในระดับความรุนแรงสูงสุด 48 ช่องโหว่ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในระดับความรุนแรงสูงสุดเพื่อรันคำสั่งอันตรายที่ใช้ควบคุมระบบได้ เช่น ฝังคำสั่งอันตรายไว้ในไฟล์ PDF ที่จะทำงานเมื่อผู้ใช้งานเปิดไฟล์ PDF ด้วย Adobe Reader ที่มีช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์ให้เป็นเวอร์ชั่นล่าสุดเพื่อลดความเสี่ยง

ที่มา : threatpost