ทำไมต้อง108isee

Translate

ข่าวไวรัสบน PDF


ตอนแรกผมว่าจะเอาไว้รวมกันในเรื่องที่เหมือนกัน โดยการต่อท้ายหรือ ใส่เพิ่ม โปรแกรมพีดีเอฟ
ผลคือว่ามันยาวมาก มีการเปลี่ยนแปลงมากเกินกว่าที่จะรวมไว้ในที่ๆเดียว ไม่เป็นไร เราก็นำมาใส่ไว้ในหัวข้อใหม่

พูดถึงแล้ว ระบบของโปรแกรม Adobe Reader
เป็นเป้าหมายของผู้ร้อนวิชาทั้งหลายนำมาใช้ในการโจมตี หรือเข้ายึดเครื่องเพื่อกระทำ หรือใช้เครื่องผู้อื่นตามต้องการ



ไปอ่านข่าวนี้กันครับ มีวิธีแก้ไขที่ทำได้ด้วย เหมือนเดิมครับข้อมูลจาก ThaiCERT ของคนไทย ระบบที่ได้รับผลกระทบ
* Adobe Reader เวอร์ชัน 9.1.1, 8.1.5, 7.1.2 และเวอร์ชันที่เก่ากว่า * Adobe Acrobat (Standard, Professional และ 3D) เวอร์ชัน 9.1.1, 8.1.5, 7.1.2และเวอร์ชันที่เก่ากว่า
กล่าวโดยทั่วไป


Adobe ได้เผยแพร่ Security Bulletin APSB09-07 ที่ระบุถึงช่องโหว่หน่วยความจำล้นซึ่งอาจทำให้ผู้บุกรุกเรียกใช้คำสั่งบนระบบจากระยะไกลได้


I. คำอธิบาย
Adobe Security Bulletin ที่
APSB09-07อธิบายถึงช่องโหว่เกี่ยวกับการจัดการหน่วยความจำที่มีผลกระทบต่อโปรแกรม
Adobe Reader และ Acrobatโดยบางช่องโหว่เกิดขึ้นเมื่อโปรแกรมดังกล่าวจัดการกับไฟล์ที่มีสายข้อมูล JBIG2ซึ่งสร้างเป็นพิเศษสำหรับบุกรุก (JBIG2 เป็นมาตรฐานการบีบอัดขนาดภาพสำหรับภาพขาวดำ)


ผู้บุกรุกสามารถโจมตีผ่านช่องโหว่เหล่านี้โดยลวงให้ผู้ใช้งานดาวน์โหลดไฟล์
Adobe Portable DocumentFormat (PDF)
ซึ่งสร้างขึ้นเป็นพิเศษเพื่อบุกรุกและเนื่องจากโปรแกรมเว็บบราวเซอร์ที่ได้รับความนิยมมักรวมความสามารถของ
Acrobat ไว้ด้วยดังนั้นการเยี่ยมชมบางเว็บไซต์อาจทำให้ Acrobat ดาวน์โหลดไฟล์ PDF
ซึ่งใช้ในการบุกรุกมาได้



II. ผลกระทบ
ผู้บุกรุกสามารถเรียกใช้คำสั่งบนระบบจากระยะไกลได้


III. วิธีแก้ไข


อัพเดตโปรแกรมAdobe ได้เผยแพร่ตัวอัพเดตโปรแกรมซึ่งแก้ไขช่องโหว่ที่เกิดขึ้น
ผู้ใช้ควรอ่าน Adobe Security BulletinAPSB09-07 และอัพเดตโปรแกรม Adobe Reader และ Acrobet ที่มีช่องโหว่ยกเลิกการใช้งานจาวาสคริปต์ใน Adobe Reader และ
Acrobatการยกเลิกการใช้งานจาวาสคริปต์ช่วยป้องกันการโจมตีซึ่งมีผลสั่งรันคำสั่ง โดย
Acrobatสามารถยกเลิกการใช้งานจาวาสคริปต์ได้ที่เมนู preferences ดังนี้



1. เปิดเมนู Edit

2. เลือกหัวข้อ Preferences

3. เลือกในส่วน JavaScript

4. นำเครื่องหมายถูกออกจากช่อง Enable Acrobat JavaScriptยกเลิกการเปิดเอกสาร PDF โดยอัตโนมัติในเว็บบราวเซอร์ Microsoft Internet Explorer


การติดตั้งโปรแกรม Adobe Reader และ Acrobat ได้ปรับแต่งค่าในเว็บบราวเซอร์ Internet Explorerให้เปิดเอกสาร PDF แบบอัตโนมัติโดยไม่ต้องมีการยืนยันจากผู้ใช้ซึ่งอาจได้รับอันตรายจากช่องโหว่ดังนั้นผู้ใช้ควรตั้งค่าให้มีการแจ้งเตือนการเปิดเอกสาร PDF โดยแก้ไขค่าในรีจิสทรีย์ด้วยการสร้างไฟล์.REG ที่มีรายละเอียดด้านล่าง แล้วเลือกนำเข้า (import)


Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\AcroExch.Document.7]"EditFlags"=hex:00,00,00,00

ยกเลิกการแสดงเอกสาร PDF บนโปรแกรมเว็บบราวเซอร์
การป้องกันการเปิดเอกสาร PDF จากเว็บบราวเซอร์ช่วยลดโอกาสการถูกโจมตีจากช่องโหว่นี้การปฏิบัติตามขั้นตอนแก้ไขด้านล่างสามารถช่วยป้องกันการโจมตีที่อาจเกิดขึ้นจากช่องโหว่ที่คล้ายกันในอนาคตการป้องกันไม่ให้เอกสาร
PDF ถูกเปิดในเว็บบราวเซอร์โดยอัตโนมัติได้ด้วยขั้นตอนดังนี้
1. เปิดโปรแกรม Adobe Acrobat Reader
2. ไปที่เมนู Edit
3. เลือกหัวข้อ Preferences
4. เลือกในส่วน Internet
5. นำเครื่องหมายถูกออกจากช่อง Display PDF in browser


ไม่เปิดเอกสาร PDF จากแหล่งที่ไม่น่าไว้วางใจ
ไม่เปิดเอกสาร PDF ที่ไม่รู้จักหรือไม่ได้ต้องการเปิด

ทั้งที่อยู่บนเว็บไซต์หรือแนบมากับอีเมล์อาจศึกษา
เอกสาร Cyber Security Tip ST04-010 เป็นความรู้เพิ่มเติม
วิธีการแก้ไขเบื้องต้นเพิ่มเติมสามารถอ่านได้ที่ Vulnerability Note VU#568153

IV. เอกสารอ้างอิง
* Adobe Security Bulletin APSB09-07 -<http://www.adobe.com/support/security/bulletins/apsb09-07.html>
* Vulnerability Note VU#568153 - <http://www.kb.cert.org/vuls/id/568153>