Adobe ได้ออกอัปเดตความปลอดภัยที่สำคัญ เพื่อแก้ไขช่องโหว่ระดับความรุนแรง High ทั้งหมด 3 รายการ (CVE-2025-30324, CVE-2025-30325, CVE-2025-30326) ใน Photoshop 2024 และ 2025 ซึ่งสามารถทำให้ผู้ไม่หวังดีรันได้โค้ดตามที่ต้องการบนระบบปฏิบัติการ Windows และ macOS

ช่องโหว่เหล่านี้ถูกพบโดยนักวิจัยจากภายนอกชื่อ yjdfy ผ่านโปรแกรม bug bounty บนแพลตฟอร์ม HackerOne ของ Adobe ซึ่งเกี่ยวข้องกับความเสี่ยงด้าน Memory Corruption ที่เกิดจากการจัดการ integer และการเข้าถึง Pointer ที่ยังไม่ได้ถูกกำหนดค่า

แม้ยังไม่พบการโจมตีโดยใช้ช่องโหว่นี้ในทางปฏิบัติ แต่แพตช์ที่ออกเมื่อวันที่ 13 พฤษภาคม 2025 ได้ลดความเสี่ยงจากรูปแบบการโจมตีที่ต้องมีการโต้ตอบของผู้ใช้งานผ่านการเปิดไฟล์ที่เป็นอันตราย

ช่องโหว่เหล่านี้มีศูนย์กลางอยู่ที่การจัดการหน่วยความจำที่ไม่เหมาะสมขณะประมวลผลไฟล์ภาพ

CVE-2025-30324 เกี่ยวข้องกับ error ด้าน Integer Underflow/Wraparound ใน layer compositing engine ของ Photoshop โดยเกิดขึ้นเมื่อค่าที่มากกว่าถูกลบออกจากค่าที่น้อยกว่า ซึ่งเป็นตัวเลขแบบ Unsigned ส่งผลให้เกิดตำแหน่งหน่วยความจำที่ไม่ถูกต้อง

ผู้ไม่หวังดีอาจใช้ใช้ประโยชน์จากช่องโหว่นี้ด้วยการสร้างไฟล์ .PSD แบบพิเศษเพื่อจะทริกเกอร์เงื่อนไข Buffer Underwrite ซึ่งส่งผลให้พื้นที่หน่วยความจำใกล้เคียงเกิด corrupt

CVE-2025-30325 เกิดจากช่องโหว่ Integer Overflow ในโมดูลแปลงค่าสีแบบ CMYK โดยเมื่อมีการใช้ Color Profile ที่ถูกออกแบบพิเศษให้เกินขีดจำกัดของตัวเลข 32 บิต ระหว่างการคำนวณพิกเซล จะทำให้เกิด Heap Buffer Overflow

ทั้งสองช่องโหว่ได้รับคะแนน CVSSv3.1 ที่ 7.8 เนื่องจากเป็นการโจมตีแบบ local ที่ต้องอาศัยการเปิดไฟล์อันตรายโดยผู้ใช้งาน

ช่องโหว่ที่สาม CVE-2025-30326 เกี่ยวข้องกับการจัดการ Metadata Tag แบบเก่าในไฟล์ TIFF ของ Photoshop

การกำหนดค่า Pointer ที่ไม่เหมาะสมในระหว่างการอ่านข้อมูล Exif จาก Header ที่ถูกแก้ไข อาจทำให้ Pointer ไปอ้างอิงตำแหน่งหน่วยความจำที่ผู้ไม่หวังดีควบคุมได้

ประกาศของ Adobe ระบุว่าทั้งสามช่องโหว่สามารถนำไปสู่การรันโค้ดตามที่ต้องการในระดับสิทธิ์ของผู้ใช้งานที่เป็นเป้าหมาย ซึ่งมีความเสี่ยงสูงเนื่องจาก Photoshop จะทำงานด้วยสิทธิ์ที่สูง

การติดตั้งแพตช์ และการลดผลกระทบ

เวอร์ชันที่ได้รับผลกระทบ ได้แก่ Photoshop 2025 (26.5 และเวอร์ชันก่อนหน้า) และ Photoshop 2024 (25.12.2 และเวอร์ชันก่อนหน้า) ทั้งบน Windows และ macOS

การอัปเดตเวอร์ชัน 26.6 สำหรับ Photoshop 2025 และ 25.12.3 สำหรับ Photoshop 2024 ได้เพิ่มความเข้มงวดในการตรวจสอบขอบเขตในกระบวนการ Raster และเพิ่มขั้นตอนการตรวจสอบ Pointer

ผู้ใช้งาน Creative Cloud จะได้รับการอัปเดตโดยอัตโนมัติผ่านบริการ Desktop App’s Background แต่ผู้ดูแลระบบต้องอนุมัติการติดตั้งแพตช์ด้วยตนเองในสภาพแวดล้อมที่มีการจัดการผ่าน Admin Console

องค์กรควรให้ความสำคัญกับการทดสอบความเข้ากันของแพตช์กับปลั๊กอินของ Third-party เนื่องจากการเปลี่ยนแปลงโครงสร้างหน่วยความจำอาจส่งผลกระทบต่อ extension รุ่นเก่า

การลดผลกระทบชั่วคราวสำหรับระบบที่ยังไม่ได้ติดตั้งแพตช์ คือการกำหนด Group Policy (สำหรับ Windows) หรือโปรไฟล์ MDM (สำหรับ macOS) เพื่อจำกัดการเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือใน Photoshop

อย่างไรก็ตาม Adobe เน้นย้ำว่าแนวทางเหล่านี้อาจส่งผลกระทบต่อการทำงานของซอฟต์แวร์ และไม่ควรใช้โดยไม่มีการติดตั้งแพตช์ถาวร

ผลกระทบต่อผู้ใช้งานในสายงานด้าน Creative

ช่องโหว่เหล่านี้สะท้อนให้เห็นถึงความท้าทายอย่างต่อเนื่องในการรักษาความปลอดภัยของซอฟต์แวร์กราฟิกที่มีความซับซ้อนต่อการโจมตีผ่านไฟล์

แม้ว่า Adobe จะมีรางวัลสูงสุดถึง $250,000 สำหรับการรายงานช่องโหว่ระดับ Critical แต่การที่ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยเพียงคนเดียวอาจแสดงให้เห็นถึงช่องโหว่ในการตรวจสอบโค้ดสำหรับช่องโหว่ประเภท Memory Corruption

ทีม PSIRT ของบริษัทได้ขยายโครงสร้างพื้นฐานสำหรับการทดสอบ fuzzing ใน image codec ตั้งแต่ปี 2023 แต่กรณีเฉพาะในไฟล์ฟอร์แมตเก่ายังคงเป็นปัญหา

สำหรับผู้ใช้งาน การอัปเดตครั้งนี้แสดงให้เห็นถึงความสำคัญของการจัดการ Software Lifecycle โดยองค์กรที่ยังใช้ Photoshop 2024 ต้องพิจารณาความเร่งด่วนในการอัปเกรดเทียบกับความเสี่ยงต่อการกระทบกับขั้นตอนการทำงาน

นักวิเคราะห์ด้านความปลอดภัยแนะนำให้ใช้ Sandbox กับซอฟต์แวร์กราฟิกผ่านเทคนิค Virtualization หรือ Containerization โดยเฉพาะการแลกเปลี่ยนไฟล์จากภายนอก

การเปิดเผยข้อมูลอย่างโปร่งใสของ Adobe ยังคงแสดงให้เห็นถึงแนวโน้มที่ดีขึ้นด้านความรับผิดชอบของผู้พัฒนาซอฟต์แวร์ โดยมีการออกแพตช์ภายใน 90 วันหลังจากนักวิจัยรายงานช่องโหว่

เนื่องจากการโจมตีผ่านไฟล์เริ่มมุ่งเป้าไปยังอุตสาหกรรม Creative มากขึ้น เหตุการณ์นี้จึงแสดงให้เห็นถึงความจำเป็นของการแบ่งปันข่าวกรองภัยคุกคามเฉพาะกลุ่มผ่านแพลตฟอร์มอย่างเครือข่าย AIS ของ CISA

การอัปเดตนี้ถือเป็นแพตช์ความปลอดภัยที่สำคัญครั้งที่ 4 ของ Photoshop ในปี 2025 สะท้อนถึงความเข้มข้นของการวิจัยด้านความปลอดภัย และ Attack Surface ที่เพิ่มขึ้นจากฟีเจอร์ที่ขับเคลื่อนด้วย AI

ผู้ใช้งานควรตรวจสอบสถานะการอัปเดตของ Creative Cloud ทันที และตรวจสอบกิจกรรมที่เกี่ยวกับการประมวลผลไฟล์ล่าสุดเพื่อหาความผิดปกติ

แม้ว่ามาตรการปัจจุบันจะลดโอกาสการถูกโจมตีได้ แต่ความซับซ้อนทางเทคนิคของช่องโหว่ด้าน Memory Corruption ทำให้ยังคงมีความเสี่ยงอย่างต่อเนื่องที่ต้องจับตาอย่างใกล้ชิด

ที่มา : gbhackers

บริษัทซอฟท์แวร์คอมพิวเตอร์ของสหรัฐอเมริกาชื่อ Adobe ประสบปัญหาด้านการรักษาความปลอดภัยอย่างรุนแรงเมื่อช่วงต้นเดือนที่ผ่านมา ซึ่งมีการเปิดเผยข้อมูลของผู้ใช้งาน จากบริการ Creative Cloud ที่เป็นนิยมในตอนนี้ ด้วยจำนวนสมาชิกที่ใช้บริการประมาณ 15 ล้านคน

Adobe Creative Cloud หรือ Adobe CC เป็นการบริการให้สมาชิกสามารถใช้งานซอฟต์แวร์ของ Adobe ได้โดยการเช่า เช่น Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom และอีกมากมาย

เมื่อต้นเดือนนี้ Bob Diachenko นักวิจัยด้านความปลอดภัยได้ร่วมมือกับบริษัทด้านความปลอดภัยทางไซเบอร์ Comparitech ค้นพบฐานข้อมูล Elasticsearch ที่ไม่มีการตั้งรหัสผ่านของบริการ Adobe Creative Cloud ที่ทุกคนสามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านหรือผ่านการตรวจสอบ

ข้อมูลที่เปิดเผยจากฐานข้อมูลซึ่งขณะนี้มีข้อมูลส่วนตัวของบัญชีผู้ใช้งาน Adobe Creative Cloud อยู่เกือบ 7.5 ล้านบัญชี ข้อมูลที่ถูกเปิดเผยจากบริการ Creative Cloud ได้แก่ ที่อยู่อีเมล วันที่สมัครสมาชิก ผลิตภัณฑ์ Adobe ที่สมัครเป็นสมาชิก สถานะการสมัครสมาชิก สถานะการชำระเงิน รหัสสมาชิก ประเทศ เวลาการเข้าสู่ระบบล่าสุด และสมาชิกดังกล่าวเป็นพนักงานของ Adobe หรือไม่

ไม่มีข้อมูลทางการเงินรั่วไหล แต่จากข้อมูลที่รั่วไหลออกมา สามารถนำข้อมูลผู้ใช้งาน Adobe Creative Cloud ไปทำอีเมลฟิชชิงเพื่อหลอกลวงผู้ใช้งานได้ Comparitech กล่าวในบล็อกโพสต์" อาชญากรไซเบอร์อาจทำตัวเหมือน Adobe หรือ บริษัท ที่เกี่ยวข้องและหลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัวเช่น รหัสผ่านส่วนตัว

Diachenko ที่ค้นพบฐานข้อมูลที่รั่วไหลแจ้งให้ Adobe ทราบทันทีในวันที่ 19 ตุลาคม

บริษัท Adobe ได้มีมาตรการการแก้ไขปัญหาด้านความปลอดภัยที่เกิดขึ้นอย่างรวดเร็วโดยปิดการเข้าถึงฐานข้อมูลที่เป็นสาธารณะในวันเดียวกัน ตามรายงานของบล็อกที่เผยแพร่โดย Adobe ในวันศุกร์

ปลายสัปดาห์ที่แล้ว Adobe ได้ตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการทำงานที่เกิดขึ้นจากข้อผิดพลาด ได้มีการปิดระบบที่ที่มีการทำงานที่ผิดพลาดโดยทันทีเพื่อแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น

ปัญหานี้ไม่มีส่งผลกระทบต่อการทำงานของผลิตภัณฑ์หรือบริการหลักของ Adobe แต่อย่างใดแต่ทาง Adobe ได้มีการตรวจสอบกระบวนการพัฒนา เพื่อช่วยป้องกันปัญหาที่อาจจะเกิดขึ้นในอนาคต

สิ่งที่ผู้ใช้ควรทำ

ผู้ใช้ส่วนใหญ่ควรระวังอีเมลที่เป็นฟิชชิ่ง ซึ่งจะเป็นขั้นตอนต่อไปที่อาชญากรไซเบอร์ทำหลังจากได้ข้อมูลข้องผู้ใช้งาน เพื่อหลอกเอาข้อมูลส่วนตัวเช่นรหัสผ่านและข้อมูลทางการเงิน

แม้ว่าฐานข้อมูลจะไม่เปิดเผยข้อมูลทางการเงินใดๆ แต่ก็เป็นความคิดที่ดีที่ผู้ใช้งานควรจะระมัดระวังและคอยสังเกตการณ์ธนาคารของคุณและใบแจ้งยอดการชำระเงินการทำกิจกรรมทางการเงิน หากพบสิ่งที่ผิดปกติควรรีบแจ้งไปยังธนาคารทันที

Adobe ได้แนะนำให้ผู้ใช้งานเปิดการใช้งาน two-factor authentication เพื่อช่วยรักษาข้อมูลของผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น

ที่มา thehackernews

จากกรณีที่ Adobe ถูกแฮก ข้อมูลของผู้ใช้บางส่วนและซอร์สโค้ดของโปรแกรมถูกขโมย เมื่อต้นเดือนตุลาคม ในตอนแรก Adobe ระบุว่าน่าจะกระทบกับผู้ใช้ประมาณ 2.9 ล้านบัญชี แต่ข้อมูลใหม่ล่าสุดหลังการตรวจสอบอย่างละเอียดแล้ว ทาง Adobe ได้ส่งอีเมลให้ผู้ใช้ทำการเปลี่ยนรหัสผ่านจำนวนทั้งสิ้น 38 ล้านบัญชี

ล่าสุดมีรายงานว่าไฟล์บัญชีและรหัสผ่านของผู้ใช้ (ที่เข้ารหัสแบบ hash) ถูกปล่อยออกมาบนอินเทอร์เน็ตแล้ว ไฟล์นี้มีขนาด 3.8 GB และมีข้อมูลของผู้ใช้กว่า 150 ล้านบัญชี แต่ก็ยังไม่ชัดเจนว่าเป็นไฟล์จริงหรือไม่ และเป็นบัญชีที่ถูกใช้งานมากน้อยแค่ไหน

ทาง Adobe ออกมาแถลงข่าวว่าได้ติดต่อกับผู้ใช้ทุกคนที่ได้รับผลกระทบให้ทำการรีเซ็ตรหัสผ่านทั้งหมดแล้ว และขอความร่วมมือให้ผู้ใช้รายอื่นเข้ามารีเซ็ตรหัสผ่านโดยด่วน

นอกจากปัญหาเรื่องข้อมูลของผู้ใช้แล้ว การแฮกดังกล่าวยังขโมยซอร์สโค้ดซอฟต์แวร์ของ Adobe ออกไปได้จำนวนหนึ่ง ซึ่งซอฟต์แวร์ที่สามารถขโมยไปได้คือ Acrobat, Adobe Reader, ColdFusion และมีคนอ้างว่าได้ซอร์สโค้ดของ Photoshop ไปด้วย

ที่มา : krebsonsecurity