Adobe Flash และ Flash Player
หลังจากรายงานช่องโหว่ CVE-2016-4117 ของ Adobe Flash ที่มีการโจมตีจริงแล้ว ตอนนี้ Adobe ก็ออกแพตช์แก้ช่องโหว่นี้ออกมาแล้ว
นอกจากช่องโหว่ดังกล่าวแล้ว แพตช์รอบนี้ยังแก้ไขช่องโหว่อื่นๆ รวม 25 รายการ ช่องโหว่ทั้งหมดเปิดทางให้สามารถรันโค้ดได้
ช่องโหว่รอบนี้ถูกรายงานจากหลายแหล่ง เช่น Microsoft Vulnerability Research, Pangu LAB, Tencent, Project Zero, CSIRT.SK , NSFOCUS, และ FireEye
ที่มา - Adobe
Adobe แจ้งเตือนช่องโหว่ CVE-2016-4117 ที่กระทบ Adobe Flash Player รุ่น 21.0.0.226 ขึ้นไป โดยกระทบทุกแพลตฟอร์ม ตั้งแต่วินโดวส์, แมค, ลินุกซ์, และ Chrome OS ช่องโหว่นี้ทำให้เครื่องแครชหรือแฮกเกอร์อาจจะเข้าควบคุมเครื่องของเหยื่อได้
ช่องโหว่นี่ทาง FireEye รายงานไปยังทาง Adobe และทาง Adobe ยืนยันว่ามีการโจมตีด้วยช่องโหว่นี้แล้ว ส่วนแพตช์จะมาอย่างเร็วที่สุดวันที่ 12 พฤษภาคมนี้ (ตามเวลาสหรัฐฯ)
ระหว่างนี้ก็หลีกเลี่ยงการใช้งาน Flash กับเว็บที่ไม่รู้จักกันไปก่อนครับ
จากข่าวเมื่อวานนี้ Adobe ออก Flash Player 21.0.0.213 อุดรูรั่วที่พบการโจมตีแล้ว ล่าสุดมีรายงานเพิ่มเติมว่าพบ ransomware ที่ใช้ช่องโหว่นี้แล้วเช่นกัน
ransomware ดังกล่าวมีสองตระกูล ถูกตั้งชื่อว่า Locky และ Cerber เดิมทีมันถูกแพร่ผ่านเอกสาร Microsoft Word ที่เปิดมาโครไว้ แต่เมื่อช่องโหว่ตัวใหม่ของ Flash ถูกค้นพบและกระจายในแวดวงแฮ็กเกอร์ผ่านชุด exploit kit ในท้องตลาด บรรดาแฮ็กเกอร์ก็หันมาแพร่ ransomware เหล่านี้ผ่านช่องโหว่ใหม่ตัวนี้ด้วย
Adobe ออก Flash Player 21.0.0.213 อุดรูรั่วหมายเลข CVE-2016-1019 ขอให้ผู้ใช้ทุกรายอัพเดตกันด่วน
ช่องโหว่นี้เป็นช่องโหว่ระดับร้ายแรง (critical) พบใน Flash Player 21.0.0.197 หรือเก่ากว่า บนระบบปฏิบัติการทุกตัว และมีรายงานว่าช่องโหว่นี้ถูกใช้โจมตีผู้ใช้จริงแล้ว (Flash Player 21.0.0.182 หรือใหม่กว่า มีมาตรการบรรเทาความเสียหายได้บ้าง แต่ก็ควรอัพเดตอยู่ดี)
ไมโครซอฟท์เผยว่า Microsoft Edge บน Windows 10 Anniversary Update จะหยุดเล่นคอนเทนต์ Flash ที่ไม่ได้อยู่ตรงกลางหน้าเว็บโดยอัตโนมัติ (อาทิ โฆษณาที่มักอยู่ด้านข้างของหน้าเว็บ) เพื่อลดการใช้พลังงานและเพิ่มประสิทธิภาพการแสดงผลเว็บ ทั้งนี้ ผู้ใช้สามารถคลิกที่คอนเทนต์ดังกล่าวเพื่อให้ทำงานได้เอง
ฟีเจอร์นี้ถูกเพิ่มลง Windows 10 รุ่นทดสอบ 14316 แล้ว ส่วนฟีเจอร์อื่นๆ ที่ถูกเพิ่มมาด้วย อาทิ ลากโฟลเดอร์มาวางบนเว็บอย่าง OneDrive, Dropbox และ Google Drive เพื่ออัพโหลดทั้งโฟลเดอร์ได้ เรียกดู favorites แบบ tree view ได้ เป็นต้น (changelog)
ที่มา: Microsoft Edge Dev Blog
Adobe ได้ออกอัพเดต Flash อีกรอบ โดยรอบนี้มาพร้อมกับการปิดช่องโหว่ 23 จุด
ช่องโหว่ที่เกิดในรอบนี้ได้แก่ integer overflow จำนวน 3 ช่องโหว่, use-after-free จำนวน 11 ช่องโหว่, heap overflow จำนวน 1 ช่องโหว่ และ memory corruption อีก 8 ช่องโหว่ ซึ่งช่องโหว่ทั้งหมดนี้สามารถทำให้รันโค้ดที่ไม่พึงประสงค์ได้ โดยมีช่องโหว่ที่สำคัญคือ CVE-2016-1010 ที่ Adobe รายงานว่าตอนนี้เริ่มมีการโจมตีบ้างแล้วในวงจำกัด
วันนี้ Adobe ปล่อย Adobe Animate อย่างเป็นทางการ หลังจากที่เปิดตัวมาตั้งแต่ปลายปีก่อน และนับเวอร์ชันแรกเป็น CC 2015
ของใหม่ใน Adobe Animate ถ้าจะให้พูดคงไม่หมด เพราะมันถูกปรับแต่งจาก Flash Professional ขึ้นมาเยอะมาก (มีการรวมซอฟต์แวร์ชุด Adobe Edge เข้ามาใน Animate ด้วย) เพื่อความชัวร์สามารถดูรายละเอียดของใหม่พร้อมการทำงานคร่าวๆ จากวิดีโอที่อยู่ท้ายเบรค และสามารถดูตัวอย่างการใช้งานแบบสดๆ ผ่าน Twitch ของ Adobe ซึ่งมีรายการสดแสดงตัวอย่างให้ชมทั้งหมดสามวัน (วันนี้เป็นวันที่สอง)
ที่ยืนของ Flash ในโลกโฆษณาออนไลน์น้อยลงไปเรื่อยๆ ก่อนหน้านี้เราเห็นข่าว Chrome ไม่เล่นไฟล์ Flash แบบแบนเนอร์ และ Amazon เลิกรับโฆษณารูปแบบ Flash กันไปแล้ว
เมื่อปีที่ผ่านมา Adobe Flash มีอัพเดตโดยเพิ่มฟีเจอร์ความปลอดภัยใหม่จาก Project Zero เป็นตัวแบ่งส่วน heap (isolators of heaps) ทำให้แม้ Flash จะมีช่องโหว่แต่ก็ไม่สามารถเจาะออกไปยังระบบอื่นๆ ได้ แม้จะมีข้อจำกัดว่าใช้ได้เฉพาะในโครมรุ่น 64 บิตเท่านั้น แต่การใช้งานก็มากขึ้นเรื่อยๆ Zerodium นายหน้าค้าช่องโหว่ซอฟต์แวร์ก็ออกประกาศหาทางเจาะทะลุการป้องกันนี้แล้ว โดยตั้งรางวัล 100,000 ดอลลาร์
แนวทางการแยก heap ออกจากกันได้รับความนิยมมากขึ้นเรื่อยๆ การอัพเดตรอบเดือนธันวาคมที่ผ่านมาไมโครซอฟท์ก็เข้ามาช่วยกับอโดบีในการพัฒนาเทคนิคนี้
อโดบีปล่อยอัพเดต Flash นอกรอบปกติ เนื่องจากช่องโหว่ CVE-2015-8651 มีรายงานว่ามีผู้ถูกโจมตีอย่างเจาะจงแล้ว
ทางอโดบีปล่อยอัพเดตช่องโหว่อื่นๆ ออกมาพร้อมกันอีกชุดใหญ่ เกือบทั้งหมดมีความเสี่ยงว่าจะทำให้แฮกเกอร์รันโค้ดในเครื่องของเหยื่อได้
ช่องโหว่ในรอบนี้ถูกส่งมาจาก Project Zero, Qihoo 360, Xuanwu LAB (Tencent), HP ZDI, และ WSEC (ผ่านทาง Chromium Vulnerability Reward Program) ยกเว้น CVE-2015-8651 ที่มีการโจมตีแล้ว ทางอโดบีลบข้อมูลผู้รายงานออกไปโดยไม่ได้แจ้งเหตุผล
Facebook ประกาศเปลี่ยนตัวเล่นวิดีโอบนเว็บจาก Flash มาเป็น HTML5 ทั้งหมดแล้ว (ทั้งในหน้าเพจและ news feed)
Facebook อธิบายว่าการเปลี่ยนมาใช้ HTML5 ที่เป็นเทคโนโลยีเว็บทั้งหมด ช่วยให้กระบวนการพัฒนาเดินหน้ารวดเร็วยิ่งขึ้น อีกทั้งรองรับฟีเจอร์ด้าน accessibility ได้เต็มรูปแบบ เพราะตัวเล่นวิดีโอเป็นเนื้อเดียวกับเว็บ ต่างจาก Flash ที่มีสถานะเป็นปลั๊กอินฝังในเว็บ อย่างไรก็ตาม การเล่นวิดีโอผ่าน HTML5 ก็มีปัญหาเรื่องความเข้ากันได้ของเบราว์เซอร์แต่ละตัว และปัญหาประสิทธิภาพบนเบราว์เซอร์รุ่นเก่าๆ ซึ่งทีมงานจะหาวิธีแก้ไขต่อไป
มาถึงตอนนี้ชัดเจนแล้วว่า Adobe กำลังถอดรื้อตัวเองออกจาก Flash เต็มที่ เราเห็นข่าว Flash Professional เปลี่ยนชื่อเป็น Adobe Animate ไปแล้ว คราวนี้มาดูฝั่งของวิดีโอกันบ้าง
Adobe มีโซลูชันการเข้ารหัส-เซิร์ฟเวอร์สตรีมวิดีโอชื่อ Adobe Primetime ที่ใช้กับบรรดาเว็บสื่อใหญ่ๆ ทั่วโลกมานาน ความเคลื่อนไหวล่าสุดคือ Adobe ประกาศว่าจะเน้นการเผยแพร่ผ่าน HTML5 เป็นหลัก โดยออก TVSDK for HTML5 เพื่อให้ลูกค้าสามารถพัฒนาแอพ-วิดีโอให้เล่นได้บนอุปกรณ์ทุกประเภท
วันนี้ Adobe ประกาศข่าวใหญ่สำหรับคนรัก Adobe Flash Professional ครับ นั่นก็คือ Adobe ประกาศยุติการพัฒนา Flash Professional อย่างเป็นทางการแล้ว โดยจะย้ายงานของ Flash ทั้งหมดไปทำงานบนแอพพลิเคชันตัวใหม่ที่มีชื่อว่า "Adobe Animate" ที่จะปล่อยเวอร์ชันแรกในเดือนมกราคมปี 2016 ที่จะถึงนี้ (นับเป็นโปรแกรมแยกของ CC 2015)
Adobe ปล่อย Flash รุ่น 19.0.0.245 และ 18.0.0.261 แก้ไขช่องโหว่ความปลอดภัยจำนวน 17 รายการ แบ่งออกเป็นช่องโหว่รันโค้ดด้วยช่องโหว่ type confusion 1 รายการ, ช่องโหว่เขียนไฟล์ด้วยสิทธิ์ของผู้ใช้ 1 รายการ, และช่องโหว่การใช้หน่วยความจำหลังคืนความจำ (use-after-free) อีก 15 รายการ
เมื่อวาน Trend Micro รายงานช่องโหว่ใหม่ของ Flash คือช่องโหว่ CVE-2015-7645 ซึ่งมีวิกฤตระดับที่มีการโจมตีโดยใช้ช่องโหว่นี้มาแล้ว ตอนนี้ Adobe ก็ออกแพทซ์มาแล้ว เร็วกว่าที่คาดไว้คือวันที่ 19 ตุลาคมนี้
สำหรับช่องโหว่นี้ Adobe ให้อยู่ในความสำคัญระดับ 1 ทุกแพลตฟอร์ม (ยกเว้นบน Linux ให้ความสำคัญระดับ 3) จึงแนะนำให้ผู้ใช้ Flash ทุกคนและทุกแพลตฟอร์มอัพเดตทันทีครับ
หลังจากเมื่อวานนี้ทางอโดบีออกแพตช์ Flash ช่องโหว่สำคัญ ทาง Trend Micro ก็ออกมารายงานช่องโหว่อีกตัวหนึ่ง คือ CVE-2015-7645 เป็นช่องโหว่ระดับวิกฤติที่มีการโจมตีแล้ว
กลุ่มที่ใช้ช่องโหว่นี้ทาง Trend Micro ตั้งชื่อให้ว่ากลุ่ม Pawn Storm อาศัยการส่งอีเมลข่าวการเมืองระหว่างประเทศไปยังเป้าหมายอย่างเจาะจงกลุ่ม เช่น หน่วยงานรัฐและสื่อมวลชนในสหรัฐฯ และประเทศพันธมิตร, กลุ่มต่อต้านรัฐบาลรัสเซีย, สื่อ ทหาร และหน่วยงานรัฐบาลยูเครน, กลุ่มชาตินาโต้
Adobe อัพเดตแพตช์ความปลอดภัยให้ Flash Player ชุดใหญ่จำนวน 23 จุด ตัวเลขเวอร์ชันล่าสุดคือ 19.0.0.185 และ 18.0.0.241 (สำหรับผู้ใช้กลุ่ม Extended Support)
Adobe ระบุว่ายังไม่พบการโจมตีช่องโหว่เหล่านี้ในทางปฏิบัติ แต่ก็แนะนำให้ผู้ใช้งานอัพเดต Flash เป็นเวอร์ชันล่าสุดทันที
เข้ามาเล่นในตลาดสตอเรจแฟลชอย่างจริงจังสำหรับ Oracle หลังจากเมื่อต้นปีเพิ่งเปิดตัว FS1 รุ่นไฮบริดไปก่อน ก็ถึงคิวเปิดตัวเวอร์ชันแฟลชล้วนมาบ้างเมื่อปลายเดือนสิงหาคม พร้อมกับเปิดตัวในประเทศไทยอย่างเป็นทางการเมื่อสัปดาห์ที่ผ่านมา
สเปคตัวคอนโทรลเลอร์ของ FS1 รุ่นแฟลชล้วนจะเท่ากับรุ่นไฮบริดแทบทุกอย่าง ซีพียูเป็น Xeon E5-2620 หกคอร์ความถี่ 2GHz (รวมเป็น 24 คอร์) ใส่แรมได้สูงสุด 384GB รองรับ SSD ความจุสูงสุด 912TB แต่ถ้าใช้ SSD แบบเน้นประสิทธิภาพสูงจะอยู่ที่ 156TB
ทีมงานพัฒนาโครมแจ้งเตือนตั้งแต่เดือนมิถุนายนที่ผ่านมา ว่าโครมจะเริ่มหยุดเล่นไฟล์ Flash เองโดยอัตโนมัติ โดยเบราว์เซอร์จะเลือกเองว่าเนื้อหาส่วนใดสำคัญต่อเว็บ วันนี้ทาง AdWord ฝ่ายโฆษณาของกูเกิลก็ออกมาเตือนอีกครั้งว่ามาตรการนี้จะเริ่มวันที่ 1 กันยายนนี้
ทางเลือกของคนทำโฆษณาคือแปลงโฆษณาเป็น HTML5 เสีย ในกรณีของ Adwords นั้นมีบริการแปลง Flash เป็น HTML5 อัตโนมัติ ใครยิงโฆษณาผ่าน AdWords ก็ควรเข้าไปตรวจสอบว่าไฟล์ Flash ถูกแปลงได้สำเร็จหรือไม่
ชะตากรรมของ Flash เริ่มถูกทอดทิ้งมากขึ้นเรื่อยๆ ล่าสุดเป็น Amazon ที่ปรับเงื่อนไขการลงโฆษณาบนเว็บ Amazon.com และเครือข่าย Amazon Advertising Platform แบบเงียบๆ ว่าไม่รองรับโฆษณาแบบ Flash แล้ว
เหตุผลของ Amazon เป็นเรื่องความปลอดภัยของ Flash ที่เว็บเบราว์เซอร์เริ่มบล็อคเนื้อหาจาก Flash กันแล้ว (ทั้ง Chrome, Firefox, Safari) ทำให้โฆษณารูปแบบ Flash มีโอกาสถูกเห็นโดยผู้ใช้น้อยลง การเปลี่ยนแปลงจะเริ่มมีผลตั้งแต่วันที่ 1 กันยายน 2015 เป็นต้นไป บริษัทแนะนำให้ใช้โฆษณาเป็นภาพหรือ HTML แทน
on
on