ก่อนหน้านี้ทางกองบรรณาธิการเว็บไซต์เออาร์ไอพี (arip) ได้รายงานเกี่ยวกับช่องโหว่อันตรายที่เกิดจากการเปิด PDF reader ในบราวเซอร์ ล่่าสุดมีรายงานข่าวเกี่ยวกับช่องโหว่ใหม่ที่พบในโปรแกรมดังกล่าวอีกแล้ แต่คราวนี้มีสาเหตุจากฟังก์ชัน "getAnnots()" ในจาวาสตริปท์ (JavaScript)"ช่องโหว่ใหม่ล่าสุดที่พบจะเปิดโอกาสให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อผ่านทางอินเทอร์เน็ตได้" ข้อความแจ้งเตือนที่โพสต์ไว้บนโฮมเพจของ US-CERT นอกจากนี้ยังได้แนะนำให้ยกเลิก (disable) การทำงานของ JavaScript ใน Adobe Reader เพื่อลดความเสี่ยงด้วย สำหรับช่องโหว่ดังกล่าว ทาง Adobe ได้รับรายงานเป็นที่เรียบร้อยแล้ว "เรากำลังอยู่ในระหว่างตรวจสอบ และจะอัพเดตให้ผู้ใช้ได้ทราบรายละเอียดกันอีกที" จากข้อความที่ปรากฎบล็อกของ Adobe เอง
สำหรับวิธียกเลิกการทำงานของจาวาสคริปท์ใน Acrobat Reader ให้คลิ้กเมนู Edit เลือกคำสัง Preferences ในกรอบ Categories: เลือก JavaScript คลิ้กเครื่องหมายถูกออกไปจากช่องหน้าข้อความ Enable Acrobat JavaScript แล้วคลิกปุ่ม OK เป็นขั้นตอนสุดท้าย
เมื่อเร็วๆ นี้ Mikko Hypponen ประธานเจ้าหน้าที่ฝ่ายวิจัยจากบริษัท F-Secure ก็ได้ออกมาแนะนำให้ผู้ใช้ถอดโปรแกรม Adobe Reader ออกไป เพื่อความปลอดภัยจากช่องโหว่ที่เกิดจากการเรียกใช้ PDF viewer จากในบราวเซอร์โดยอัตโนมัติ เนื่องจากเปิดไฟล์ PDF อันตรายที่อาศัยช่องโหว่อย่างน้อย 6 แห่งใน PDF Reader
ในบรรดาโปรแกรมอ่านไฟล์ PDF ที่ให้ดาวน์โหลดฟรี ก็จะมี PDF Revu ของ Bluebeam ที่อ้างว่าเป็นทางเลือกที่ปลอดภัยกว่า(ให้ลองใช้ก่อน 30 วัน) โดยโปรแกรมดังกล่าวจะมีคุณสมบัติการเปิด PDF หลายไฟล์พร้อมกันได้ถึง 16 ไฟล์ โดยแยกเปิดแต่ละไฟล์เป็นแท็บแบบบราวเซอร์ ทั้งนี้ไฟล์ PDF ที่เปิดขึ้นมาในโปรแกรมทั้งหมดสามารถมาจากที่ต่างๆ ได้ ไม่ว่าจะเป็นไดรฟ์บนเน็ตเวิร์ก หรือดาวน์โหลดจากอินเทอร์เน็ต ทั้งนี้ไฟล์ทั้งหมดจะเปิดในแอพพลิเคชัน PDF Revu แยกต่างหากแทนที่จะฝังตัวอยู่ในบราวเซอร์ Don Jacob โฆษกประจำบริษัท Bluebeam ยังกล่าวอีกด้วยว่า "ผู้ใช้ PDF ที่ปฎิบัติตามคำแนะนำของ Hypponen ด้วยการถอดถอด (uninstall) โปรแกรม Adobe Reader ออกไปแล้ว สามารถใช้ Bluebeam PDF Revu เพื่อความปลอดภัยในการวิวไฟล์ PDF ได้ เนื่องจากโปรแกรมใช้เทคโนโลยีที่ทันสมัยกว่า ทำให้ไม่ถูกโจมตีได้โดยง่ายอย่างที่ผู้ใช้ Adobe Reader กำลังได้รับผลกระทบอยู่ในขณะนี้"
Tags: pdf reader javascript bug flaw ช่องโหว่ บั๊ก จาวาสคริปท์ พีดีเอฟ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น