เนื่องจากมีการออกใบรับรองดิจิตอลโดยไม่ถูกต้องโดย Directorate General of the Treasury (DG Trésor) ซึ่งเป็นหน่วยงานของรัฐบาลฝรั่งเศส (ANSSI) ไมโครซอฟท์จึงทำการลบใบรับรองดิจิตอลเหล่านั้นออกจาก Certificate Trust List (CTL) โดยจะมีผลกระทบกับ Windows ทุกเวอร์ชันทั้งเวอร์ชันลูกข่ายและแม่ข่าย
สำหรับใบรับรองดิจิตอลที่ออกโดยไม่ถูกต้องนี้ แฮกเกอร์สามารถใช้โจมตีผู้ใช้ Windows โดยการสร้างเนื้อหาที่หลอกลวง (spoof content), ทำการโจมตีแบบฟิชชิ่ง (phishing attacks) หรือทำการโจมตีแบบ man-in-the-middle ได้ ซึ่งใบรับรองดิจิตอลที่มีปัญหาเหล่านี้ถูกใช้ในการออกใบรับรอง SSL ให้เว็บไซต์ต่างๆ ไปแล้วหลายเว็บไซต์ด้วยกันรวมถึงเว็บไซต์ที่อยู่ในเครือกูเกิล
วิธีการยกเลิกใบรับรองดิจิตอลที่ออกโดยไม่ถูกต้อง
ไมโครซอฟท์ได้ทำการยกเลิกใบรับรองดิจิตอลที่ไม่น่าเชื่อถือออกจาก CTL เรียบร้อยแล้ว ซึ่งจะมีผลโดยอัตโนมัติกับผู้ใช้ Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 และ Windows Server 2012 R2 และอุปกรณ์ระบบ Windows Phone 8 เนื่องจากเวอร์ชันเหล่านี้มีระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติ (automatic updater of revoked certificates) ในตัว
สำหรับผู้ใช้ Windows Vista, Windows 7, Windows Server 2008 หรือ Windows Server 2008 R2 ที่ติดตั้งระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติจะทำการยกเลิกใบรับรองดิจิตอลที่มีปัญหาออกจาก CTLโดยอัตโนมัติ สำหรับผู้ที่ไม่ได้ติดตั้งระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติ สามารถดาวน์โหลดอัปเดทมาติดตั้งได้ตนเองได้จากเว็บไซต์
สำหรับผู้ใช้ Windows XP และ Windows Server 2003 สามารถยกเลิกใบรับรองดิจิตอลที่ไม่น่าเชื่อถือออกจาก CTL ได้โดยการติดตั้งอัปเดท KB2917500 ซึ่งสามารถติดตั้งผ่านทางเว็บไซต์ Microsoft Update หรือดาวน์โหลดอัปเดทมาติดตั้งด้วยตนเองได้จากเว็บไซต์
หมายเหตุ: การดาวน์โหลดบางตัวจะมีการตรวจสอบ Windows ของแท้ (Windows Genuine Validation) ก่อนการดาวน์โหลด
ความเห็นผู้เขียน
เพื่อความปลอดภัย ขอแนะนำให้ผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบทำการติดตั้งอัปเดทที่เหมาะสมในทันทีที่ทำได้
แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2916652)
KB2677070
KB2917500
Copyright © 2013 TWA Blog. All Rights Reserved.
Friday, December 13, 2013
Home »
Microsoft
,
Security
,
Tech News
» ไมโครซอฟท์ยกเลิก Digital Certificates ที่ออกโดยไม่ถูกต้องออกจาก Certificate Trust List มีผลกระทบ Windows ทุกเวอร์ชัน
ไมโครซอฟท์ยกเลิก Digital Certificates ที่ออกโดยไม่ถูกต้องออกจาก Certificate Trust List มีผลกระทบ Windows ทุกเวอร์ชัน
Related Posts:
Malware found on HTC Magic came from the memory cardsVodafone บอกว่า: มัลแวร์ที่พบบนเครื่องโทรศัพท์ HTC Magic ติดมากับ Memory Cards บทความโดย: Thai Windows Administrator Blog สืบเนื่องจากมีรายงานว่านักวิจัยของ Panda Security ได้ตรวจพบมัลแวร์ (Malware) ที่มีความเชื่อมโยงกับบอท… Read More
Malware found on HTC Magic Android phone from Vodafoneนักวิจัยของ Panda Security อ้างว่าพบมัลแวร์บนเครื่องโทรศัพท์ HTC Magic รุ่นใหม่จาก Vodafone บทความโดย: Thai Windows Administrator Blog นักวิจัยของ Panda Security ซึ่งเป็นบริษัทพัฒนาโปรแกรมแอนตี้ไวรัสในประเทศสเปน อ้างว่าพบมั… Read More
Energizer USB charger infected with Trojanตลึง! พบ Trojan ในซอฟต์แวร์มอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer Duo USB บทความโดย: Thai Windows Administrator Blog U.S. Computer Emergency Response Team หรือ US-CERT ซึ่งเป็นหน่วยงานที่รับผิดชอบดูแลเกี่ยวกับการร… Read More
New Zero-Day vulnerabilities in Internet Explorer พบช่องโหว่ความปลอดภัยใหม่ใน Internet Explorer บทความโดย: Thai Windows Administrator Blog ไมโครซอฟท์ (Microsoft) เพิ่งจะออกแพตซ์ (Patch) เป็นกรณีพิเศษ (Out-of-Band) เพื่อแก้ปัญหาความปลอดภัยไปร้ายแรงใน Internet Explorer (อ่า… Read More
Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ตClickjacking อีกหนึ่งภัยคุกคามของการใช้งานอินเทอร์เน็ต บทความโดย: Thai Windows Administrator Blog ภัยคุกคามผู้ใช้งานอินเทอร์เน็ตนั้น นับวันยิ่งจะมีมากขึ้นและมีภัยใหม่เกิดขึ้นเรื่อย อย่างไวรัส เวิร์ม ไทรจัน มีข่าวระบาดเกือบทุ… Read More
0 Comment:
Post a Comment