Adobe เร่งแก้ไขข้อบกพร่องด้านความปลอดภัยฉุกเฉินใน Photoshop Creative Cloud
Adobe แจ้งเกี่ยวกับข้อบกพร่องที่สำคัญใน Photoshop Creative Cloud ในวันที่ 22 สิงหาคม นักวิจัยกล่าวว่าช่องโหว่เหล่านี้สามารถช่วยให้แฮกเกอร์เปิดใช้งานการเรียกใช้โค้ดจากระยะไกลใน Photoshop[1]. แม้ว่าการปล่อยแพตช์จะไม่ได้วางกำหนดการไว้ แต่ผู้ใช้ Windows และ Mac OS ก็ควรอัปเดตแอปพลิเคชันทันที
ผู้เชี่ยวชาญด้านไอทีสังเกตว่า Adobe Photoshop CC เวอร์ชันต่อไปนี้อาจได้รับผลกระทบ[2]:
- Photoshop CC 2018 เวอร์ชัน 19.1.5 และเก่ากว่า;
- Photoshop CC 2017 เวอร์ชัน 18.1.5 และเก่ากว่า
โปรแกรมแก้ไขความปลอดภัยของ Adobe อัปเดต Photoshop CC 2018 และ Photoshop CC 2017 เป็นเวอร์ชัน 19.1.6 และ 18.1.6 บนระบบปฏิบัติการ Mac และ Windows การอัปเกรดฉุกเฉินเหล่านี้ช่วยหลีกเลี่ยงการเรียกใช้โค้ดจากระยะไกล (RCE) ที่ระบุภายใต้หมายเลข CVE-2018-12810 และ CVE-2018-12811[3].
ลักษณะเฉพาะของช่องโหว่หน่วยความจำเสียหาย
นักวิจัยระบุว่า หากไฟล์ที่เป็นอันตรายเข้าสู่ระบบด้วยโปรแกรม Photoshop CC ที่มีช่องโหว่ ไฟล์ดังกล่าวอาจกระตุ้นให้มีการเรียกใช้โค้ดปลอมที่ซ่อนอยู่ภายในรูปภาพ นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยยังทราบว่าการเรียกใช้โค้ดจากระยะไกลอยู่ในบริบทของผู้ใช้ปัจจุบัน
การแสวงหาประโยชน์ที่ประสบความสำเร็จอาจนำไปสู่การใช้รหัสโดยอำเภอใจในบริบทของผู้ใช้ปัจจุบัน
Adobe ขอขอบคุณอย่างชัดแจ้งสำหรับ Kushal Arvind Shah นักวิจัยด้านความปลอดภัยที่ FortiGuard Labs ของ Fortinet สำหรับการแจ้งเกี่ยวกับจุดบกพร่องที่สำคัญสองจุดที่มีอยู่ใน Photoshop CC[4]. นอกจากนี้ ผู้เชี่ยวชาญด้านไอทียังช่วยแก้ไขปัญหาและรับประกันการคุ้มครองผู้บริโภคของ Adobe:
Adobe ขอขอบคุณ Kushal Arvind Shah จาก FortiGuard Labs ของ Fortinet สำหรับการรายงานปัญหาเหล่านี้ และสำหรับการทำงานร่วมกับ Adobe เพื่อช่วยปกป้องลูกค้าของเรา
สองแพตช์ไม่รวมอยู่ใน Patch Tuesday Cycle
แม้ว่าช่องโหว่เหล่านี้เป็นเพียงช่องโหว่เดียวที่รายงานว่าวิกฤต แต่ก็ไม่รวมอยู่ในวงจร Patch Tuesday ร่วมกับอีก 70 ช่องโหว่ที่เผยแพร่โดย Microsoft และ Adobe โปรแกรมแก้ไขที่ออกนั้นครอบคลุม Acrobat Reader, Experience Manager, Flash และข้อบกพร่องอื่นใน Creative Cloud
เนื่องจากบั๊กถูกระบุว่ามีความสำคัญ Adobe และนักวิจัยด้านความปลอดภัยอื่น ๆ สนับสนุนให้ผู้ใช้ทั้งหมดอัปเดตโปรแกรมของตนโดยเร็วที่สุดเพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น[5]:
Adobe แนะนำให้ผู้ใช้อัปเดตการติดตั้งซอฟต์แวร์ผ่านกลไกการอัปเดตของแต่ละแอปพลิเคชันโดยเปิดแต่ละแอป ไปที่เมนู Help แล้วคลิก "Updates" สำหรับข้อมูลเพิ่มเติม โปรดอ้างอิงความช่วยเหลือนี้ หน้าหนังสือ.