Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ 0-day ใน Adobe Reader และ Adobe Acrobat (CVE-2011-2462)

วันที่ประกาศ : 7 ธันวาคม 2554
ปรับปรุงล่าสุด :
8 ธันวาคม 2554
เรื่อง : ระวังภัย ช่องโหว่ 0-day ใน Adobe Reader และ Adobe Acrobat (CVE-2011-2462)
หมายเลขช่องโหว่ : CVE-2011-2462, APSA11-04 (รหัสอ้างอิงของ Adobe)
ประเภทภัยคุกคาม : Intrusion

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

Adobe แจ้งเตือนเมื่อวันที่ 6 ธันวาคม 2554 เรื่องช่องโหว่ 0-day รหัส CVE-2011-2462 โดยช่องโหว่ดังกล่าวมีผลกับซอฟต์แวร์ Adobe Reader 9.x, Adobe Reader X, Adobe Acrobat 9.x และ Adobe Acrobat X ซึ่งทาง Adobe แจ้งว่ามีการโจมตีผู้ใช้โปรแกรม Adobe Reader เวอร์ชัน 9.x บน Windows ผ่านช่องโหว่ดังกล่าวแล้ว

ผลกระทบ

Adobe รายงานว่า ช่องโหว่ที่เกิดขึ้นคือ U3D memory corruption โดย U3D ย่อมาจาก Universal 3D ซึ่งเป็นไฟล์บีบอัด (Compressed file) ของไฟล์ภาพกราฟิก 3 มิติ ที่นิยมใช้ในหลายบริษัท เช่น Adobe, Intel หรือ Hewlett-Packard ผู้โจมตีจะส่งอีเมลโดยแนบไฟล์ PDF ที่ใส่โค้ดอันตรายลงไปในส่วน U3D หลังจากผู้รับเปิดไฟล์ดังกล่าว โค้ดอันตรายที่ฝังอยู่ในไฟล์ PDF จะเริ่มทำงาน หลังจากนั้นโปรแกรมจะ Crash และเปิดโอกาสให้ผู้โจมตีสามารถส่งคำสั่งเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้

ระบบที่ได้รับผลกระทบ

  • Adobe Reader X (10.1.1) และเวอร์ชันต่ำกว่า 10.x สำหรับ Windows และ Macintosh
  • Adobe Reader 9.4.6 และเวอร์ชันต่ำกว่า 9.x สำหรับ Windows, Macintosh และ UNIX
  • Adobe Acrobat X (10.1.1) และเวอร์ชันต่ำกว่า 10.x สำหรับ Windows และ Macintosh
  • Adobe Acrobat 9.4.6 และเวอร์ชันต่ำกว่า 9.x สำหรับ Windows และ Macintosh
หมายเหตุ : ช่องโหว่นี้ไม่มีผลกระทบต่อ Adobe Reader ใน Android และ Adobe Flash Player

วิธีแก้ไข

ปัจจุบันยังไม่มีแพทช์สำหรับแก้ปัญหาช่องโหว่ดังกล่าว โดยทาง Adobe แจ้งว่า จะออกแพทช์ชั่วคราวสำหรับ Adobe Reader 9.x และ Acrobat 9.x สำหรับ Windows ภายในช่วงสัปดาห์ของวันที่ 12 ธันวาคม 2554 เนื่องจากโปรแกรม Adobe Reader X มีระบบ Protected Mode และ Adobe Acrobat X มีระบบ Protected View ซึ่งช่วยป้องกันการโจมตีโดยใช้ช่องโหว่ดังกล่าวได้อยู่แล้ว และทาง Adobe จะปล่อยซอฟต์แวร์ Adobe Reader 9.x, Adobe Reader X, Adobe Acrobat 9.x และ Adobe Acrobat X เวอร์ชันใหม่ ภายในวันที่ 10 มกราคม 2555

สำหรับ ผู้ที่ใช้งานโปรแกรม Adobe Reader X จะเปิดการทำงานของระบบ Protected Mode เพื่อป้องกันปัญหานี้อยู่แล้ว ผู้ใช้สามารถตรวจสอบการทำงานของระบบนี้ได้ด้วยการ

  1. คลิกที่เมนู Edit > Preferences > General
  2. ตรวจสอบว่าหัวข้อ "Enable Protected Mode at startup" ได้ถูกเลือกอยู่
สำหรับ ผู้ที่ใช้งานโปรแกรม Adobe Acrobat X จะเปิดการทำงานของระบบ Protected View เพื่อป้องกันปัญหานี้อยู่แล้ว ผู้ใช้สามารถตรวจสอบการทำงานของระบบนี้ได้ด้วยการ
  1. คลิกที่เมนู Edit > Preferences > Security (Enhanced)
  2. ตรวจสอบว่าหัวข้อ "Files from potentially unsafe locations" หรือ "All files" ถูกกำหนดไว้เป็น "Enable Enhanced Security"
อย่างไร ก็ตาม ระหว่างที่ยังไม่มีการแก้ไขปัญหาอย่างเป็นทางการจาก Adobe ผู้ที่ใช้ซอฟต์แวร์ Adobe Reader 9.x หรือ Adobe Acrobat 9.x ควรเปลี่ยนมาใช้ซอฟต์แวร์ Adobe Reader X และ Adobe Acrobat X โดยเร็วที่สุด

เอกสารอ้างอิง

  1. http://www.adobe.com/support/security/advisories/apsa11-04.html
  2. http://blogs.adobe.com/asset/2011/12/background-on-cve-2011-2462.html
  3. http://osvdb.org/show/osvdb/77529
  4. http://www.computerworld.com/s/article/9222454/Hackers_exploit_Adobe_Reader_zero_day_may_be_targeting_defense_contractors
Clear