ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) พบรายงาน Adobe ออกอัปเดตความปลอดภัยประจำเดือนพฤษภาคม 2569 เพื่อแก้ไขช่องโหว่จำนวน 52 รายการ ใน 10 ผลิตภัณฑ์ โดยมีช่องโหว่ระดับ Critical ที่อาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาตและการยกระดับสิทธิ์ [1]
1. รายละเอียดช่องโหว่
Adobe ได้แก้ไขช่องโหว่ในหลายผลิตภัณฑ์ โดยช่องโหว่หลายรายการอาจถูกใช้เพื่อรันโค้ดโดยไม่ได้รับอนุญาต ขณะที่ช่องโหว่บางรายการอาจทำให้แอปพลิเคชันหยุดให้บริการ (DoS) หรือส่งผลกระทบต่อการทำงานของระบบ
1.1 Adobe Connect
พบช่องโหว่ระดับ Critical จำนวน 2 รายการ ได้แก่ CVE-2026-34659 (CVSS: 9.6) ที่อาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาต และ CVE-2026-34660 (CVSS: 9.3) ที่อาจนำไปสู่การยกระดับสิทธิ์ โดยกระทบ Adobe Connect Desktop Application บน Windows และ macOS[2]
1.2 Adobe Commerce และ Magento Open Source
เป็นผลิตภัณฑ์ที่ได้รับการแก้ไขช่องโหว่มากที่สุด โดยแก้ไขช่องโหว่ระดับ High จำนวน 10 รายการ และระดับ Medium จำนวน 5 รายการ ซึ่งอาจถูกใช้เพื่อข้ามกลไกความปลอดภัย ทำให้ระบบหยุดให้บริการ หรือการรันโค้ดโดยไม่ได้รับอนุญาต[3]
1.3 Content Authenticity SDK
ได้รับการแก้ไขช่องโหว่จำนวน 14 รายการ โดยประกอบด้วยระดับ High 1 รายการ และระดับ Medium 13 รายการ ซึ่งช่องโหว่ทั้งหมดอาจนำไปสู่ภาวะ Application Denial-of-Service หรือทำให้แอปพลิเคชันหยุดให้บริการ
1.4 ผลิตภัณฑ์ Adobe อื่น ๆ
Adobe ยังได้แก้ไขช่องโหว่ใน Adobe Premiere Pro, Adobe Media Encoder, Adobe After Effects, Adobe Illustrator, Adobe Substance 3D Designer, Adobe Substance 3D Sampler และ Adobe Substance 3D Painter โดยหลายช่องโหว่อาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาต หากผู้ใช้เปิดไฟล์ที่ถูกจัดเตรียมมาเป็นพิเศษ[4]
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 Adobe Connect
2.2 Adobe Commerce
2.3 Content Authenticity SDK
2.4 Adobe After Effects
2.5 Adobe Premiere Pro
2.6 Adobe Media Encoder
2.7 Adobe Substance 3D Painter
2.8 Adobe Substance 3D Sampler
2.9 Adobe Illustrator
2.10 Adobe Substance 3D Designer
3. แนวทางการแก้ไข
3.1 อัปเดตผลิตภัณฑ์ Adobe ที่ใช้งานให้เป็นเวอร์ชันล่าสุดผ่านช่องทางอัปเดตของ Adobe หรือ Creative Cloud Desktop App
3.2 ให้ความสำคัญกับ Adobe Commerce เป็นลำดับต้น เนื่องจาก Adobe จัดให้เป็น Priority Rating 2 ซึ่งหมายถึงผลิตภัณฑ์ที่มีความเสี่ยงสูงกว่าปกติจากประวัติการถูกมุ่งเป้าโจมตี
3.3 สำหรับผลิตภัณฑ์อื่น ๆ ที่ได้รับการอัปเดตในรอบนี้ Adobe จัดเป็น Priority Rating 3 และควรดำเนินการอัปเดตตามรอบการจัดการแพตช์ขององค์กร
3.4 ตรวจสอบระบบที่ใช้ Adobe Connect และ Adobe Commerce ซึ่งอาจมีผลกระทบสูงต่อองค์กรหากถูกใช้โจมตีสำเร็จ
4. มาตรการลดความเสี่ยงเพิ่มเติม
4.1 หลีกเลี่ยงการเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์ที่เปิดผ่านโปรแกรม Adobe ที่เกี่ยวข้อง
4.2 จำกัดสิทธิ์ผู้ใช้งานตามหลัก Least Privilege เพื่อลดผลกระทบหากเกิดการรันโค้ดหรือยกระดับสิทธิ์
4.3 เฝ้าระวังพฤติกรรมผิดปกติ เช่น แอปพลิเคชัน Adobe ทำงานผิดปกติ ปิดตัวเอง หรือมีการเรียกโปรเซสหรือเชื่อมต่อเครือข่ายที่ไม่คุ้นเคย
4.4 สำรองข้อมูลและตรวจสอบความพร้อมของแผนกู้คืนระบบ โดยเฉพาะองค์กรที่ใช้งาน Adobe Commerce
5. แหล่งอ้างอิง