TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อวันอังคารที่ผ่านมา Adobe ออกแพตซ์แก้ปัญหาช่องโหว่บนผลิตภัณฑ์ Dreamweaver, Flash Player และ Connect ซึ่งช่องโหว่ดังกล่าวทำให้เกิด Remote Code Execution และ XSS ได้ ดังนั้นแนะนำผู้ใช้งานควรรีปอัปเดต
Flash Player
2 ช่องโหว่ที่ถูกค้นพบโดย Yuki Chen จาก Qihoo 360 มีหมายเลขอ้างอิงคือ CVE-2018-4919 และ CVE-2018-4920 สามารถถูกใช้ทำให้เกิด Remote Code Execution ได้ ซึ่งมันถูกจัดเป็นช่องโหว่ร้ายแรงและให้ความสำคัญเป็น 2 ซึ่งทาง Adobe คาดว่าจะไม่ถูกนำไปใช้ในอนาคต โดยถูกแพตซ์อัปเดตใน Flash Player เวอร์ชัน 29.0.0.113 สำหรับ Windows, Mac, Linux และ Chrome
Dreamweaver CC
นักวิจัย Andrea Micalizzi ผู้ค้นพบช่องโหว่ชื่อ ‘rgod‘ ถูกจัดอยู่ในระดับความรุนแรงสูงถึงแม้ว่ายังไม่ถูกแฮ็กเกอร์นำไปใช้ก็ตาม แต่ช่องโหว่หมายเลข CVE-2018-4924 มีผลกระทบกับผลิตภัณฑ์บน Windows เวอร์ชัน 18.0 และก่อนหน้า โดยมันเกี่ยวพันกับช่องโหว่ OS command injection ใน URL Handler ซึ่งส่งผลให้เกิด Code Execution กับผู้ใช้งานปัจจุบันได้
Connect
ช่องโหว่ CVE-2018-4923 เป็นช่องโหว่ OS command injection ใน URL Handler ที่ทำให้สามารถลบไฟล์หรือถอนการติดตั้งแอปพลิเคชันได้ อีกช่องโหว่หนึ่งคือ CVE-2018-4921 แก้ปัญหาการอัปโหลด SWF ไฟล์ที่อาจทำให้เกิดการโจมตีแบบ Cross Site Script ทั้งสองถูกให้เครดิตกับ นักวิจัย Andrea Micalizzi และ Ciaran McNally
ที่มา : https://www.securityweek.com/adobe-patches-critical-code-execution-flaws-dreamweaver-flash
