ไมโครซอฟท์ออกอัพเดทหมายเลข MS11-100 เป็นกรณีพิเศษ (Out-of-Band) เพื่อแก้ปัญหาช่องโหว่ความปลอดภัยร้ายแรงระดับวิกฤตใน .NET Framework ตั้งแต่เวอร์ชัน 1.1 - 4 โดยช่องโหว่ความปลอดภัยนี้สามารถใช้โจมตีระบบแบบ Elevation of Privilege ได้และมีผลกระทบกับ Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 และ Windows Server 2008 R2
อัพเดทหมายเลข MS11-100 แก้ไขปัญหาช่องโหว่ความปลอดภัยใน .NET Framework ทั้งหมด 4 ปัญหาด้วยกัน รายละเอียดดังนี้
- Collisions in HashTable May Cause DoS Vulnerability - CVE-2011-3414
- Insecure Redirect in .NET Form Authentication Vulnerability - CVE-2011-3415
- ASP.Net Forms Authentication Bypass Vulnerability - CVE-2011-3416
- ASP.NET Forms Authentication Ticket Caching Vulnerability - CVE-2011-3417
สำหรับช่องโหว่ความปลอดภัยใน .NET Framework ที่พบในครั้งนี้สามารถใช้ในการโจมตีแบบ Elevation of Privilege โดยทำการส่งการร้องขอซึ่งแฝงโค้ดอันตรายไปยังเว็บไซต์เป้าหมาย ถ้าการโจมตีประสบความสำเร็จผู้โจมตีจะสามารถทำงานต่างๆ รวมถึงการรันคำสั่งที่ต้องโดยใช้ระดับสิทธิ์ของบัญชีที่มีอยู่ในไซต์ ASP.NET อย่างไรก็ตาม ในการที่จะทำการโจมตีได้สำเร็จนั้นผู้โจมตีจะต้องทำการลงทะเบียนบัญชีในไซต์ ASP.NET ด้วยชื่อผู้ใช้ที่มีอยู่ก่อน สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่ Microsoft Security Advisory (2659883) - Vulnerability in ASP.NET Could Allow Denial of Service
เนื่องจากช่องโหว่ความปลอดภัยนี้มีผลกระทบร้ายแรงสูงมาก ดังนั้นเพื่อความปลอดภัยให้ทำการอัพเดทในทันทีที่ทำได้ โดยทำการอัพเดทจากเว็บไซต์ Microsoft Update หรือทำการอัพเดทผ่านทางเซิร์ฟเวอร์ WSUS สำหรับผู้ใช้แบบองค์กรที่มีการติดตั้งระบบ Windows Server Update Services หรืออัพเดทผ่านทาง Windows Update ของระบบ Windows
สำหรับอัพเดทหมายเลข MS11-100 มีรายละเอียดทางเทคนิคดังนี้:
MS11-100: Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
Update Link: http://www.microsoft.com/technet/security/bulletin/MS11-100.mspx
Impact: Elevation of Privilege
Affected Software:
- Windows XP Service Pack 3:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows XP Professional x64 Service Pack 2:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows Server 2003 Service Pack 2:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows Server 2003 x64 Service Pack 2:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows Server 2003 with SP2 for Itanium-based Systems:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows Vista Service Pack 2:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows Vista x64 Edition Service Pack 2:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows Server 2008 for 32-bit Systems Service Pack 2:
.NET Framework 1.1 Service Pack 1 (Windows Server 2008 Server Core installation not affected), .NET Framework 2.0 Service Pack 2 (Windows Server 2008 Server Core installation not affected), .NET Framework 3.5 Service Pack 1 (Windows Server 2008 Server Core installation not affected), .NET Framework 4 (Windows Server 2008 Server Core installation not affected) - Windows Server 2008 for x64-based Systems Service Pack 2:
.NET Framework 1.1 Service Pack 1 (Windows Server 2008 Server Core installation not affected), .NET Framework 2.0 Service Pack 2 (Windows Server 2008 Server Core installation not affected), .NET Framework 3.5 Service Pack 1 (Windows Server 2008 Server Core installation not affected), .NET Framework 4 (Windows Server 2008 Server Core installation not affected) - Windows Server 2008 for Itanium-based Systems Service Pack 2:
.NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 4 - Windows 7 for 32-bit Systems only:
.NET Framework 3.5.1, .NET Framework 4 - Windows 7 for 32-bit Systems Service Pack 1 only:
.NET Framework 3.5.1, .NET Framework 4 - Windows 7 for x64-based Systems only:
.NET Framework 3.5.1, .NET Framework 4 - Windows 7 for x64-based Systems Service Pack 1 only:
.NET Framework 3.5.1, .NET Framework 4 - Windows Server 2008 R2 for x64-based Systems only:
.NET Framework 3.5.1 (Windows Server 2008 R2 Server Core installation affected), .NET Framework 4 - Windows Server 2008 R2 for x64-based Systems Service Pack 1 only:
.NET Framework 3.5.1 (Windows Server 2008 R2 Server Core installation affected), .NET Framework 4 (Windows Server 2008 R2 Server Core installation affected) - Windows Server 2008 R2 for Itanium-based Systems only:
.NET Framework 3.5.1 .NET Framework 4 - Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 only:
.NET Framework 3.5.1 .NET Framework 4
แหล่งข้อมูลอ้างอิง
Copyright © 2012 TWA Blog. All Rights Reserved.
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML