Adobe ได้ประกาศอัปเดตช่องโหว่ที่สำคัญในระบบ ColdFusion (CVE-2019-7816) ส่งผลให้ให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเครื่องที่มีปัญหาผ่านบริการของ ColdFusion ได้

ช่องโหว่เป็นข้อบกพร่องในส่วนของการป้องกันการอัพโหลดไฟล์ ผู้ไม่หวังดีจึงสามารถอัพโหลดไฟล์ที่เป็นอันตรายไปยังไดเรกทอรีที่สามารถเข้าถึงได้แบบออนไลน์ จากนั้นจึงสั่งรันไฟล์อันตรายดังกล่าวผ่านทาง HTTP นอกจากนี้เมื่อเดือนพฤศจิกายนก็ได้มีการค้นพบช่องโหว่ที่เป็นปัญหาเกี่ยวกับการจำกัดสิทธิ์ของการอัพโหลดไฟล์ใน ColdFusion (CVE-2018-15961) เช่นเดียวกัน และพบว่าช่องโหว่ดังกล่าวถูกใช้โจมตีโดยกลุ่มอาชญากรรมทางไซเบอร์จากประเทศจีน เพื่อทำการอัพโหลดไฟล์อันตรายที่มีชื่อว่า "China Chopper"

ผู้ใช้งานที่มีการใช้ ColdFusion 2018, ColdFusion 2016 และ ColdFusion 11 ควรทำการอัปเดตเพื่อแก้ไขปัญหาดังกล่าว

ที่มา:securityaffairs

Adobe ได้ทำการแก้ไขช่องโหว่ที่มีสำคัญและร้ายแรง 75 รายการ ครอบคลุม Acrobat Reader DC, Adobe Flash Player, Adobe Coldfusion และ Creative Cloud Desktop

แพทช์ที่ออกมาเป็นการแก้ไขช่องโหว่ระดับร้ายแรง (Critical) 43 รายการใน Acrobat Reader ซึ่งรวมถึงแก้ไข ข้อผิดพลาด zero-day ที่ 0patch ได้ปล่อยแพทช์ชั่วคราวออกมาก่อนหน้านี้ ข้อผิดพลาดดังกล่าวทำให้ผู้โจมตีสามารถขโมยข้อมูลชื่อผู้ใช้งาน และรหัสผ่านที่อยู่ในรูปแบบของค่า hash นอกจากนี้ยังมีช่องโหว่อื่นๆ เช่น
- CVE-2018-19725 และ CVE-2019-7041 เป็นช่องโหว่ที่ทำให้ผู้ใช้งานสามารถเพิ่มระดับสิทธิ์ตัวเองได้ (Privilege Escalation)
- CVE-2019-7030 เป็นช่องโหว่ที่ทำให้มีการเปิดเผยข้อมูล

นอกจากนี้ยังมีช่องโหว่อื่นๆ อย่างเช่น ช่องโหว่ที่ทำให้สามารถสั่งรันคำสั่งได้ตามต้องการ และช่องโหว่ที่เกี่ยวกับการจัดการหน่วยความจำของข้อมูล (buffer, out of bound และ use-after-free) โดยเวอร์ชันที่ได้รับผลกระทบ ได้แก่ Acrobat DC และ Acrobat Reader DC Continuous (เวอร์ชั่น 2019.010.20069 และรุ่นก่อนหน้า) Acrobat และ Acrobat Reader Classic 2017 (เวอร์ชั่น 2017.011.30113 ขึ้นไป) และ Acrobat DC และ Reader DC Classic 2015 (รุ่น 2015.006.30464 และรุ่นก่อนหน้า) ทั้งบน Windows และ macOS

รวมทั้งช่องโหว่ใน ColdFusion (CVE-2019-7091) ส่งผลให้มีการเปิดเผยข้อมูลโดยไม่ตั้งใจ และช่องโหว่อื่นที่ได้รับการแก้ไข ได้แก่ ช่องโหว่การยกระดับสิทธิ์ (CVE-2019-7093) ใน Creative Cloud Desktop (รุ่น 4.7.0.400 และรุ่นก่อนหน้า), ช่องโหว่การเปิดเผยข้อมูล (CVE-2019-7090) ใน Adobe Flash (รุ่น 32.0.0.114 และก่อนหน้า บน Desktop Runtime, Google Chrome, Microsoft Edge และ IE 11)

แนะนำให้ผู้ใช้งานทำการอัพเดตแพทช์ที่ออกมาประจำเดือนกุมภาพันธ์นี้ เพื่อแก้ไขช่องโหว่ที่เกิดขึ้น

ที่มา: threatpost.

Adobe ประกาศแพตช์ด้านความปลอดภัยแก่แอปพลิเคชันสำหรับการประชุม Adobe Connect ส่งผลกระทบต่อรุ่น 9.8.1 และรุ่นก่อนหน้า

แพตช์ที่ถูกปล่อยโดย Adobe นั้นเป็นแพตช์สำหรับช่องโหว่ CVE-2018-19718 ซึ่งเป็นปัญหาการเปิดเผยสิทธิ์ที่ได้รับผ่านโทเค็นของเซสชัน และช่องโหว่รหัส CVE-2018-12817 ซึ่งกระทบ Adobe Digital Editions รุ่น 4.5.9 และต่ำกว่าในระบบ Windows, macOS, iOS และ Android โดยเป็นช่องโหว่ out-of-bound ผู้โจมตีสามารถโจมตีช่องโหว่นี้เพื่อควบคุมระบบได้

Recommendation แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบคำแนะนำและอัตเดพ patch ด้านความปลอดภัยของ Adobe

ที่มา : zdnet

Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

Adobe ออกแพตช์เฉพาะกิจเพื่อแก้ไขช่องโหว่ร้ายแรงมากใน Adobe Reader และ Adobe Acrobat

หลังจากที่ Adobe ได้ออกแพตช์อัปเดทประจำเดือนกันยายนปี 2018 ในสัปดาห์ที่แล้ว ในวันที่ 19 กันยายน 2018 ได้มีการออกแพตช์เฉพาะกิจเพื่อแก้ไขช่องโหว่ร้ายแรงมากใน Adobe Reader และ Adobe Acrobat ทั้งหมด 7 ช่องโหว่ เป็่นช่องโหว่ระดับร้ายแรงมาก 1 ช่องโหว่ และช่องโหว่ที่ร้ายแรง 6 ช่องโหว่

โดยช่องโหว่ร้ายแรงมากได้รับหมายเลข CVE-2018-12848 เป็นช่องโหว่ที่ทำให้เกิดการเขียนค่าเกินกว่าส่วนที่กำหนดได้ (Out-of-bounds write) ทำให้ผู้โจมตีสามารถใช้คำสั่งที่เป็นอันตรายได้หากผู้ใช้เปิดไฟล์ที่เป็นอันตราย

สำหรับอีก 6 ช่องโหว่เป็นช่องโหว่ที่ทำให้สามารถอ่านค่าเกินกว่าส่วนที่กำหนดได้ (Out-of-bounds read) ทำให้ผู้โจมตีสามารถอ่านข้อมูลของผู้ใช้งานได้ อาจทำให้เกิดเหตุข้อมูลรั่วไหว โดยสามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับแพตช์ดังกล่าวได้จาก https://helpx.

Adobe ได้ออกแพตช์ด้านความความปลอดภัยประจำเดือนสิงหาคม โดยมีช่องโหว่ทั้งหมด 11 รายการ ซึ่งมี 2 ช่องโหว่ที่อยู่ระดับความรุนแรงสูงสุดมีผลต่อซอฟต์แวร์ Adobe Acrobat และ Reader โดยช่องโหว่ที่พบนี้มีผลต่อ Adobe Flash Player, แอพพลิเคชั่น Creative Cloud Desktop, Adobe Experience Manager, โปรแกรม Adobe Acrobat และ Reader

รายละเอียดช่องโหว่
นักวิจัยด้านความปลอดภัยของ Trend Micro จาก Zero Day Initiative ค้นพบข้อบกพร่อง (CVE-2018-12799) และ Cybellum Technologies ค้นพบข้อบกพร่อง (CVE-2018-12808) และรายงานช่องโหว่ code execution ใน Acrobat DC และ Acrobat Reader DC สำหรับ Windows และ macOS

Adobe Flash Player เวอร์ชันล่าสุดคือ 30.0.0.154 มีช่องโหว่ 5 ช่องโหว่ โดย 4 ช่องโหว่มีผลกับข้อมูลและ 1 เกี่ยวกับการ remote code execution ส่งผลต่อ desktop runtime และ Flash Player สำหรับ Google Chrome, MacOS, Linux และ Chrome OS ของ Google Chrome

Adobe Experience Manager แก้ไขช่องโหว่ของการเขียนสคริปต์ (XSS) 2 ช่องโหว่และข้อบกพร่องด้านการตรวจสอบ input ข้อผิดพลาด XSS อาจส่งผลให้มีการเปิดเผยข้อมูลอาจทำให้ผู้โจมตีสามารถแก้ไขข้อมูลได้

Adobe ได้ปรับช่องโหว่การเพิ่มสิทธิพิเศษที่สำคัญ (CVE-2018-5003) ในโปรแกรมติดตั้ง Creative Cloud Desktop Application เวอร์ชันล่าสุด 4.5.5.342 สำหรับ Windows

Adobe ขอแนะนำให้ผู้ใช้และผู้ดูแลระบบดาวน์โหลดและติดตั้งโปรแกรมแก้ไขความปลอดภัยล่าสุดโดยเร็วที่สุด

ที่มา : thehackernews

Adobe ออกแพทช์ด้านความปลอดภัยประจำเดือนพฤษภาคม เพื่อแก้ไขช่องโหว่จำนวนหนึ่ง รวมถึงช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบกับผู้ใช้งาน Adobe Creative Cloud Desktop application, Adobe Flash Player และ Adobe Connect

หนึ่งในช่องโหว่ที่ได้รับการแก้ไขคือ ช่องโหว่ที่ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้หากทำการโจมตีได้สำเร็จ(CVE-2018-4944) ส่งผลกระทบกับ Adobe Flash Player Desktop Runtime, Adobe Flash Player สำหรับ Google Chrome , Adobe Flash Player สำหรับ Microsoft Edge , Internet Explorer 11 เวอร์ชัน 29.0.0.140 และเวอร์ชั่นก่อนหน้านี้ที่กระทบระบบปฏิบัติการ Macintosh, Linux, Chrome OS, Windows 10 และ 8.1

ทาง Adobe ได้แก้ไขช่องโหว่อีก 3 ช่องโหว่ในแอปพลิเคชัน Creative Cloud Desktop ได้แก่ ช่องโหว่ CVE-2018-4992, CVE-2018-4991 และ CVE-2018-4873 ส่งผลกระทบต่อ Creative Cloud เวอร์ชั่น 4.5.0.331 ในระบบปฏิบัติการ Windows และ MacOS ส่งผลให้ผู้โจมตีสามารถบายพาสระบบความปลอดภัยและสามารถยกระดับสิทธิ์ในการเข้าถึง

นอกจากนี้ยังครอบคลุมช่องโหว่ที่ทำให้ผู้โจมตีสามารถบายพาสการพิสูจน์ตัวตนใน Adobe Connect เวอร์ชั่น 9.7.5 และก่อนหน้า(CVE-2018-4994) ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่สำคัญได้

ทาง Adobe แนะนำให้ผู้ใช้ทำการอัพเดทแพทช์ด้านความปลอดภัยโดยด่วน เพื่อป้องกันการโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา : zdnet

อโดบีประกาศแพตช์ด้านความปลอดภัยสำหรับ Flash Player และผลิตภัณฑ์อื่นๆ ประจำเดือนพฤศจิกายน 2017
สำหรับแพตช์ด้านความปลอดภัยจากอโดบีประจำเดือนพฤศจิกายน 2017 นั้น มีรายการของผลิตภัณฑ์ที่มีการค้นพบช่องโหว่ด้านความปลอดภัยและมีแพตช์เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าวมาแล้ว ดังนี้
Adobe Flash Player (ช่องโหว่ APSB17-33)
Adobe Photoshop CC (ช่องโหว่ APSB17-34)
Adobe Connect (ช่องโหว่ APSB17-35)
Adobe Acrobat และ Reader (ช่องโหว่ APSB17-36)
Adobe DNG Converter (ช่องโหว่ APSB17-37)
Adobe InDesign CC (ช่องโหว่ APSB17-38)
Adobe Digital Editions (ช่องโหว่ APSB17-39)
Adobe Shockwave Player (ช่องโหว่ APSB17-40)
Adobe Experience Manager (ช่องโหว่ APSB17-41)
ขอแนะนำให้ผู้ใช้ปรับปรุงการติดตั้งผลิตภัณฑ์ของตนเป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : adobe

Adobe ต้องออก Patch มาอุดช่องโหว่ที่มีคนกำลังใช้โจมตีผู้ใช้งาน Flash กันอยู่ โดยหนึ่งในช่องโหว่นี้ถูกรายงานโดยทีมงาน IT Security ของ Huawei ซึ่ง Adobe เองก็ได้เปิดเผยว่าช่องโหว่นี้กำลังถูกใช้โจมตีผู้ใช้งานบางกลุ่มแบบ Targeted Attack อยู่ และแนะนำให้ผู้ใช้งาน Adobe Flash ทุกคนทำการอัพเดตโดยทันที

ในครั้งนี้เป็นการ Patch เพื่ออุดช่องโหว่ถึง 19 ช่องด้วยกัน โดยมีทั้งช่องโหว่ Type Confusion, Integer Overflow, Use-after-free() และ Memory Corruption

สำหรับการตรวจสอบความปลอดภัยนั้น ผู้ใช้งาน Windows หรือ Mac จะต้องใช้ Flash รุ่น 20.0.0.267 หรือ 18.0.0.324 จึงจะถือว่าปลอดภัย ส่วนผู้ใช้งาน Google Chrome ต้องอัพถึงรุ่น 20.0.0.267 จึงจะปลอดภัย ในขณะที่ผู้ใช้งาน MS Edge และ MS IE 11 บน Windows 10 จะต้องใช้งานรุ่น 20.0.0.267 จึงจะปลอดภัย ส่วนผู้ใช้งาน MS IE 10 และ IE 11 บน Windows 8.x ต้องอัพถึงรุ่น 20.0.0.267 จึงจะปลอดภัย และผู้ใช้งาน Linux ต้องอัพถึงรุ่น 11.2.202.559 ถึงจะปลอดภัย

ที่มา : theregister

Adobe ออก Patch สำหรับ Flash Player ใน OS X, Windows, Linux และ Android โดยมี 75 ช่องโหว่ที่เปิดให้ทำ Remote Code Execution ได้ ในขณะที่อีก 3 ช่องโหว่นั้นเปิดให้ทำ Security Bypass ได้

นักวิจัยยังออกมาเผยว่า ถึงแม้จะทำการ Disable Flash บน Browser ไปแล้ว แต่ถ้าถูก Inject Flash Object ผ่านเอกสารอื่นๆ เข้ามาได้ ก็ถูกโจมตีได้อยู่ดี ยกเว้นเสียแต่ว่าจะถอดการติดตั้งทิ้ง หรือ Patch ให้เรียบร้อย ซึ่งผู้ใช้งาน Adobe AIR และ AIR SDK สามารถอัพเดต Patch ได้แล้ว

ที่มา : theregister