พบช่องโหว่ในโปรแกรม WordPad ~ Windows Administrator Blog

Thursday, December 11, 2008

พบช่องโหว่ในโปรแกรม WordPad

By dtp 4:15:00 AM No comments

พบช่องโหว่ในโปรแกรม WordPad
ไมโครซอฟท์ได้ออก Microsoft Security Advisory (960906) Vulnerability in WordPad Text Converter Could Allow Remote Code Execution (เว็บไซต์: http://www.microsoft.com/technet/security/advisory/960906.mspx) เพื่อแจ้งให้ลูกค้าทราบว่า ไมโครซอฟท์กำลังทำการตรวจสอบถึงรายงานช่องโหว่ของโปรแกรม WordPad Text Converter สำหรับ Word 97 บน Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2 โดยช่องโหว่นี้ไม่มีผลกระทบกับระบบ Windows XP Service Pack 3, Windows Vista และ Windows Server 2008

ทั้งนี้ หลังจากทำการตรวจสอบช่องโหว่ดังกล่าวนี้แล้วเสร็จ ไมโครซอฟท์จะทำการพัฒนาแพตช์สำหรับปิดช่องโหว่นี้ โดยอาจจะออกเป็นเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษถ้าได้รับการร้องของจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม สำหรับรายงานการโจมตีระบบโดยใช้ช่องโหว่นี้ ไมโครซอฟท์แจ้งว่าได้รับรายงานเกี่ยวกับการโจมตีไม่มากนัก

ข้อควรทราบเกี่ยวช่องโหว่นี้
• ช่องโหว่นี้ไม่มีผลกระทบกับระบบ Windows XP Service Pack 3, Windows Vista และ Windows Server 2008
• ถ้าแฮกเกอร์ทำการโจมตีระบบสำเร็จจะทำให้ได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของ Local user บนเครื่อง
• แฮกเกอร์ไม่สามารถทำการโจมตีแบบอัตโนมัติผ่านระบบอีเมลโดยใช้ช่องโหว่นี้ได้ โดยการโจมตีจะมีผลก็ต่อเมื่อผู้ใช้ทำการเปิดไฟล์ที่แนบมากับอีเมลเท่านั้น
• โดยปกติ เมื่อมีการติดตั้ง Microsoft Office Word 97 นั้น วินโดวส์จะกำหนดให้ทำการเปิดไฟล์ Word ด้วยโปรแกรม Word97 ซึ่งทำให้ไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามแฮกเกอร์จะหลอกผู้ใช้ โดยทำการเปลี่ยนนามสกุลไฟล์เป็น .wri ซึ่งโดยปกติวินโดวส์จะกำหนดให้ทำการเปิดไฟล์ .wri ด้วยโปรแกรม Wordpad ซึ่งจะส่งผลให้ได้รับผลกระทบจากช่องโหว่นี้
http://thaiwinadmin.blogspot.com
แหล่งข้อมูลอ้างอิง
• http://www.microsoft.com/technet/security/advisory/960906.mspx

Vulnerability WordPad Text Converter
© 2008 Thai Windows Administrator, All Rights Reserved.

Microsoft Security Update เมษายน 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, Office, .NET, Edge และ IEถึงตอนนี้ (17 เม.ย. 59) คิดว่าหลายคนคงยังไม่ได้ติดตั้งการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) ของเดือนเมษายน 2559 เนื่องจากออกในช่วงวันหยุดยาวเทศกาลสงกรานต์ โดยเดือนนี้ไมโครซอฟท์ออกการปรับปรุงความ… Read More
Microsoft Security Update มีนาคม 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, Edge และ IE (ยกเว้น IE10 และเก่ากว่า)ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนมีนาคมจำนวน 13 ตัว เพื่อปรับปรุงช่องโหว่ร้ายแรงสูงสุด (Critical) จำนวน 5 ตัว และปรับปรุงช่องโหว่ร้ายแรงสูง (Important) จำนวน 8 ตัว รายละเอ… Read More
Adobe แพตช์ช่องโหว่ CVE-2016-4117 ใน Flash Player ที่ถูกใช้โจมตีผู้ใช้แล้วปกติแล้ว Adobe และไมโครซอฟท์จะออกแพตช์พร้อมกันในวัน Patch Tuesday (ออก 11 พ.ค. 59) แต่เดือนพฤษภาคมนี้ต่างไปจากที่เคย เพราะ Adobe ออกแพตช์สำหรับ Flash Player ล่าช้าไป 1 วัน (ออก 12 พ.ค. 59) โดยออก Flash Player 21.0.0.242 เพื่อ… Read More
Microsoft Security Update พฤษภาคม 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, IE, Edge และ Officeไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนพฤษภาคมจำนวนมากถึง 16 ตัว เพื่อปรับปรุงช่องโหว่ร้ายแรงสูงสุด (Critical) จำนวน 8 ตัว (นับรวมการปรับปรุง Flash Player) และปรับปรุงช่องโหว่ร้… Read More
Microsoft Security Update กุมภาพันธ์ 2559: ปิดช่องโหว่ร้ายแรงสูงสุดใน Edge และ IE ยกเว้น IE10 และเก่ากว่าไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนกุมภาพันธ์จำนวน 13 ตัว* โดยเดือนนี้นอกจากผู้ใช้ซอฟต์แวร์ที่ได้รับผลกระทบจะต้องทำการติดตั้งการปรับปรุงให้เรียบร้อยแล้ว ผู้ใช้ IE10 บน Windo… Read More