Encase Forensic Imager เป็นเครื่องมือสำหรับเหล่า Digital Forensic ใช้สำหรับการสร้าง Disk Image ต่างๆเพื่อทำเป็นหลักฐานทางด้านการกระทำผิดใดๆทางด้าน Computer จากนั้นจึงเอาไปเปิดใช้งานใน EnCase Forensic suite เพื่อทำการวิเคราะห์ต่อไป แต่เหล่า Digital Forensic อาจไม่สามารถวางใจ Harddisk หรือ USB ที่เป็นของกลางของผู้ต้องสงสัยใดๆได้อีกต่อไป เนื่องด้วยมีคนพบว่า Encase Forensic Imager นั้นมีช่องโหว่ Buffer Overflow ซึ่งทำให้เมื่อกระทำ Disk Image จาก Harddisk ที่ฝัง code อันตรายไว้อาจทำให้ผู้ที่ทำการตรวจสอบอาจโดนโจมตีได้เอง

SEC Consult เป็นบริษัทที่ทำงานทางด้าน Security มานาน มีผู้เชี่ยวชาญอยู่ทั่วโลก โดยนาย Wolfgang Ettlinger ซึ่งเป็นหนึ่งใน SEC Consult พบว่า Encase Forensic Imager มีช่องโหว่ Buffer Overflow ในการอ่าน LVM2 partition ซึ่งเป็น Disk Format ที่มักใช้ใน Linux server ทำให้เครื่องของ Digital Forensic โดนยึดได้

โดยทาง SEC Consult ได้แจ้งทาง Guidance Software ผู้ผลิต Software ไปแล้ว แต่ทางผู้ผลิตกลับมองว่าไม่ใช่เรื่องที่ต้องสนใจแต่อย่างใด จึงได้ปล่อยช่องโหว่ค้างไว้อย่างนั้นและจะไม่มีการแก้ไขแต่อย่างใดครับ

ระบบที่ได้รับผลกระทบ: Encase Forensic Imager
ผลกระทบ: Buffer Overflow (High Severity)
วิธีการแก้ไข: –

Source:: SEC Consult