7 วัน 3 ดอก หรือนี่จะถึงคราวชี้ชะตา Adobe Flash

นับว่าสัปดาห์ที่ผ่านมาเป็นคราวเคราะห์ของ Adobe Flash อย่างแท้จริง เมื่อข้อมูลกว่า 440 GB ที่รั่วไหลออกมาจาก Hacking Team เปิดเผยถึงช่องโหว่บน Adobe Flash ที่ใช้แฮ็คถึง 3 ตัว ได้แก่ CVE-2015-5119, CVE-2015-5122 และ CVE-2015-5123 เหตุการณ์นี้จึงจุดประเด็นให้หลายฝ่ายออกมาตั้งคำถามกันอีกครั้งว่า “เราควรใช้ Adobe Flash ต่อไปดีหรือไม่ ?”

adobe_flash-occupied

7 วัน 3 ช่องโหว่ใหม่ และยังไม่ถูกแพทช์

ช่องโหว่ใหม่บน Adobe Flash 3 ตัวที่เพิ่งถูกค้นพบ ในขณะนี้มีเพียง CVE-2015-5119 เท่านั้นที่ได้ทำการแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย ซึ่งทาง Adobe ออกมายืนยันว่าช่องโหว่ที่เหลืออีก 2 ตัวจะรีบดำเนินการออกแพทช์เพื่ออุดช่องโหว่ให้เร็วที่สุดภายในสัปดาห์นี้ อย่างไรก็ตาม นี่ไม่ใช่สิ่งที่สามารถยืนยันได้ว่าในอนาคตจะไม่มีช่องโหว่ใหม่ปรากฏขึ้นบน Adobe Flash อีก

หลายฝ่ายสังเกตว่า ช่องโหว่ใหม่ 3 ตัวนี้มาจาก Hacking Team ซึ่งมีพนักงานเพียง 40 คนเท่านั้น ก็สามารถระบุช่องโหว่ของ Adobe Flash ได้ถึงขนาดนี้ แล้วถ้าเกิดเครื่องมือที่ใช้งานการตรวจสอบช่องโหว่นี้หลุดไปอยู่ในมือหน่วยงานที่ใหญ่กว่า หรือทีมแฮ็คเกอร์อื่น ผลลัพธ์จะเป็นอย่างไร ถึงเวลาแล้วหรือไม่ที่จะเลิกใช้ Adobe Flash ?

Facebook ระบุ Adobe Flash ควรถูกประกาศ End-of-Life

Alex Stamos, CSO ของ Facebook ออกมาให้ความเห็นถึงเหตุการณ์ดังกล่าวว่า “มันถึงเวลาแล้วที่ Adobe ต้องประกาศวันเลิกใช้งาน Flash และบอกให้เว็บเบราเซอร์แต่ละประเภทหยุดการใช้ Flash ในวันเดียวกัน นี่เป็นหนทางเดียวที่จะคลี่คลายปัญหาดังกล่าว และเป็นการอัพเกรดระบบโครงสร้างทั้งหมดในทีเดียว”

Firefox บล็อคการใช้ Flash จนกว่าช่องโหว่จะถูกอุด

ทางด้าน Mozilla เองก็ได้ประกาศว่า เว็บเบราเซอร์ Firefox จะทำการบล็อค Flash เวอร์ชันที่มีช่องโหว่โดย Default เพื่อป้องกันการโจมตีผ่านช่องโหว่ดังกล่าว จนกว่าทาง Adobe จะออกเวอร์ชันใหม่เพื่อช่องโหว่ให้เรียบร้อย

adobe_flash_occupied_2

หรือจะถึงคราว HTML5 ?

ในโลกอุดมคติที่หลายคนฝันถึง คือ ยกเลิกการใช้ Adobe Flash แล้วหันมาใช้เทคโนโลยีใหม่อย่าง HTML5 แทน หรืออย่างน้อยที่สุด Adobe สามารถหาทางทำให้ Flash ปลอดภัยไร้ช่องโหว่ได้สำเร็จ อย่างไรก็ตาม เหตุการณ์ทั้ง 2 อย่างนี้ก็ยังไม่มีทีท่าว่าจะเป็นจริง ทาง Blog ของ Trend Micro ระบุว่า เนื่องการใช้ Flash นั้นเปรียบได้กับการสูบบุหรี่ ถึงแม้เราจะรู้ว่ามันไม่ดี แต่เราก็ไม่สามารถเลิกเสพได้ ถึงแม้ว่า Flash จะมีความเสี่ยง ผู้คนส่วนใหญ่ก็ยังคงใช้งาน เพราะความปลอดภัยไม่ใช่ประเด็นสำคัญที่สุดในการทำให้เลิกใช้ สิ่งสำคัญคือ Flash มีต้นทุนต่ำ และมอบประสบการณ์ที่ดีให้แก่ผู้ใช้งาน ทางด้านของผู้ใช้เองก็ต้องใช้ Flash อย่างไม่มีทางเลือก เนื่องจากหลายเว็บไซต์จำเป็นต้องใช้ Flash ในการแสดงผล จึงเป็นเรื่องยากที่จะเห็นจุดจบของ Flash เร็วๆนี้

ผู้ใช้ Flash ควรทำอย่างไรเพื่อหลีกเลี่ยงช่องโหว่

สำหรับผู้ใช้งาน Flash แนะนำให้ยกเลิกการติดตั้งในกรณีที่คุณมั่นใจว่าไม่จำเป็นต้องใช้งานมันจริงๆ หรืออีกทางคือ เปลี่ยนไปใช้วิธี Click-to-run กล่าวคือ Flash จะไม่ถูกใช้งานจนกว่าผู้ใช้จะกดคลิ๊กเพื่อเริ่มใช้งาน (Chrome และ Firefox รองรับฟีเจอร์ดังกล่าว) วิธีนี้ช่วยลดความเสี่ยงในการถูกโจมตีได้เป็นอย่างดี

adobe_flash_occupied_3

ที่มา:


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …