Thursday, November 4, 2010

New Zero-day Critical Vulnerability Affecting all versions of Internet Explorer

พบปัญหาความปลอดภัยร้ายแรงแบบ Zero-day ใน Internet Explorer ทุกเวอร์ชัน

ไมโครซอฟท์ได้ออกประกาศว่ากำลังดำเนินการตรวจสอบพบช่องโหว่ความปลอดภัยตัวใหม่ใน Internet Explorer 6, 7 และ 8 ซึ่งผู้โจมตีสามารถใช้โจมตีระบบเพื่อทำการรันโค้ดจากระยะไกลได้ (Remote code execution) และที่สำคัญเป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากปัจจุบันยังไม่มีแพตซ์สำหรับแก้ไข

สำหรับสาเหตุของช่องโหว่ความปลอดภัยตัวนี้เกิดจากความผิดพลาดของ Internet Explorer ในการอ้างอิงแฟลก (Flag reference) ส่งผลให้ในบางสถานการณ์ผู้โจมตีสามารถเข้าถึกออปเจกต์ที่ถูกลบไปแล้วได้ ผู้โจมตีจึงสามารถใช้โค้ดพิเศษ (Specially-crafted) เพื่อทำให้ Internet Explorer แครชและส่งผลให้ใช้เป็นช่องทางในการรันโค้ดจากระยะไกลได้

ปัจจุบันไมโครซอฟท์ได้รับรายงานว่ามีความพยายามทำการโจมตีผู้ใช้ Internet Explorer โดยใช้ช่องโหว่ความปลอดภัยนี้แล้ว ทั้งนี้ ไมโครซอฟท์และบริษัทคู่ค้ากำลังทำการตรวจสอบสถานการณ์และติดตามช่องโหว่ นี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP)) และ Microsoft Security Response Alliance (MSRA) เพื่อเป็นศูนย์ให้ข้อมูลสำหรับลูกค้าอีกด้วย

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังทำการตรวจสอบเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ผู้ใช้ทราบอีก ครั้ง ในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

โปรแกรมที่ได้รับผลกระทบ
โปรแกรม Internet Explorer ที่ได้รับผลกระทบ มีดังต่อไปนี้
• Internet Explorer 6
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems

• Internet Explorer 7
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista Service Pack 1 and - Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1 and - Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and - Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and - Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and - Windows Server 2008 for Itanium-based Systems Service Pack 2

• Internet Explorer 8
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Vista Service Pack 1 and - Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1 and - Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and - Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and - Windows Server 2008 for x64-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems

Issue References
CVE Reference: CVE-2010-3962
Microsoft Knowledge Base Article: 2458511

Mitigating Factors
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
• ผู้ใช้ Internet Explorer 8 บน Windows XP SP3, Windows Vista SP1, Windows Vista SP2 และ Windows 7 นั้นมีความเสี่ยงต่อการถูกโจมตีน้อยกว่า เนื่องจากฟังก์ชัน Data Execution Prevention (DEP) จะถูกเปิดใช้งานโดยดีฟอลท์และทำหน้าที่ปกป้องผู้ใช้จากการโจมตีได้
• การใช้งาน Internet Explorer ใน Protected Mode นั้นจะช่วยลดผลกระทบในกรณีที่ผู้โจมตีทำการโจมตีสำเร็จ โดยกรณีที่การโจมตีประสบผลสำเร็จผู้โจมตีจะได้รับสิทธิ์ในระดับเดียวกันกับผู้ใช้ที่กำลังล็อกออน ดังนั้นผู้ใช้ที่มีระดับสิทธิ์น้อยจะมีผลกระทบน้อยกว่าผู้ใช้ที่มีระดับสิทธิ์สูง
• ในการโจมตีระบบแบบเว็บเบส (Web-based) นั้นผู้โจมตีจะชักจูงให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับ ใช้ในการโจมตีช่องโหว่โดยการส่งลิงก์มาทางอีเมล์หรือทางข้อความใน Instant Messenger สำหรับโฮสต์ของเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับใช้ในการโจมตีช่องโหว่นั้น อาจเป็นเว็บไซต์ที่ผู้โจมตีเป็นเจ้าของเองหรือใช้เว็บไซต์ที่มีช่องโหว่ความปลอดภัยหรือเว็บไซต์ที่รับผลประโยชน์จากผู้โจมตี
• โดยดีฟอลท์ Microsoft Outlook, Microsoft Outlook Express และ Windows Mail จะทำการเปิดอ่านอีเมล์ในโซน Restricted sites ซึ่งเป็นโซนที่ปิดการทำงานของสคริปต์และแอ็คทีฟเอ็กซ์คอนโทรล (ActiveX controls) ทำให้โปรแกรมเหล่านี้ไม่ได้รับผลกระทบ แต่อย่างไรก็ตาม ถ้าผู้ใช้ทำการคลิกลิงก์ในอีเมล์ก็จะทำให้ถูกโจมตีแบบเวบเบส (Web-based attack) ได้

บทความโดย: The - Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
Microsoft security advisory 2458511

Copyright © 2010 TWA Blog. All Rights Reserved.

0 Comment: