Friday, September 24, 2010

Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ .NET Framework
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ .NET Framework ซึ่งแฮกเกอร์สามารถใช้เป็นช่องทางในการดูข้อมูลต่างๆ อย่างเช่น View State ซึ่งถูกเข้ารหัสโดยเซิร์ฟเวอร์ปลายทาง หรืออ่านข้อมูลจากไฟล์บนเซิร์ฟเวอร์ปลายทาง อย่างเช่น web.config ทำให้แฮกเกอร์สามารถแก้ไขเนื้อหาของข้อมูลได้ โดยการส่งข้อมูลที่ทำการดัดแปลงแก้ไขกลับไปยังเซิร์ฟเวอร์ที่ได้รับผลกระทบจากนั้นสังเกตรหัสความผิดพลาดที่เซิร์ฟเวอร์สร้างขึ้น ทั้งนี้ ปัจจุบันมีรายงานถึงการโจมตีระบบผ่านทางช่องโหว่นี้บ้างแล้ว

ทั้งนี้ ไมโครซอฟท์และพาร์ทเนอร์ได้ทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้าอีกด้วย

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น ไมโครซอฟท์ประกาศว่าหลังทำการตรวจสอบเสร็จเรียบร้อยจะทำการแจ้งให้ผู้ใช้ทราบอีกครั้ง ในกรณีที่จำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค (Service Pack) ซีเคียวริตี้อัพเดท (Security Update) หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-cycle Security Update) ในกรณีเกิดผลกระทบร้ายแรงมากๆ หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

หมายเลขอ้างอิง
ช่องโหว่ความปลอดนี้มีหมายเลขอ้างอิงเป็น CVE-2010-3332

ซอฟต์แวร์ที่ได้รับผลกระทบ
ช่องโหว่ความปลอดภัยนี้มีผลกระทบกับ Windows และ Microsoft .NET Framework เวอร์ชันต่างๆ รายละเอียดดังนี้
Windows XP Media Center Edition 2005 and Windows XP Tablet PC Edition 2005
- Microsoft .NET Framework 1.0 Service Pack 3

Windows XP Service Pack 3
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows XP Professional x64 Edition Service Pack 2
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2003 Service Pack 2
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2003 x64 Edition Service Pack 2
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2003 with SP2 for Itanium-based Systems
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Vista Service Pack 1
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Vista Service Pack 2
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Vista x64 Edition Service Pack 1
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Vista x64 Edition Service Pack 2
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2008 for 32-bit Systems**
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2008 for 32-bit Systems Service Pack 2**
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2008 for x64-based Systems**
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2008 for x64-based Systems Service Pack 2**
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2008 for Itanium-based Systems
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows Server 2008 for Itanium-based Systems Service Pack 2
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 4.0

Windows 7 for 32-bit Systems
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.0

Windows 7 for x64-based Systems
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.0

Windows Server 2008 R2 for x64-based Systems*
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.0

Windows Server 2008 R2 for Itanium-based systems
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.0

แหล่งข้อมูลอ้างอิง
Microsoft Technet

Copyright © 2010 TWA Blog. All Rights Reserved.

0 Comment: