สำหรับใบรับรองดิจิตอลที่ออกโดยไม่ถูกต้องนี้ แฮกเกอร์สามารถใช้โจมตีผู้ใช้ Windows โดยการสร้างเนื้อหาที่หลอกลวง (spoof content), ทำการโจมตีแบบฟิชชิ่ง (phishing attacks) หรือทำการโจมตีแบบ man-in-the-middle ได้ ซึ่งใบรับรองดิจิตอลที่มีปัญหาเหล่านี้ถูกใช้ในการออกใบรับรอง SSL ให้เว็บไซต์ต่างๆ ไปแล้วหลายเว็บไซต์ด้วยกันรวมถึงเว็บไซต์ที่อยู่ในเครือกูเกิล
วิธีการยกเลิกใบรับรองดิจิตอลที่ออกโดยไม่ถูกต้อง
ไมโครซอฟท์ได้ทำการยกเลิกใบรับรองดิจิตอลที่ไม่น่าเชื่อถือออกจาก CTL เรียบร้อยแล้ว ซึ่งจะมีผลโดยอัตโนมัติกับผู้ใช้ Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 และ Windows Server 2012 R2 และอุปกรณ์ระบบ Windows Phone 8 เนื่องจากเวอร์ชันเหล่านี้มีระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติ (automatic updater of revoked certificates) ในตัว
สำหรับผู้ใช้ Windows Vista, Windows 7, Windows Server 2008 หรือ Windows Server 2008 R2 ที่ติดตั้งระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติจะทำการยกเลิกใบรับรองดิจิตอลที่มีปัญหาออกจาก CTLโดยอัตโนมัติ สำหรับผู้ที่ไม่ได้ติดตั้งระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติ สามารถดาวน์โหลดอัปเดทมาติดตั้งได้ตนเองได้จากเว็บไซต์
สำหรับผู้ใช้ Windows XP และ Windows Server 2003 สามารถยกเลิกใบรับรองดิจิตอลที่ไม่น่าเชื่อถือออกจาก CTL ได้โดยการติดตั้งอัปเดท KB2917500 ซึ่งสามารถติดตั้งผ่านทางเว็บไซต์ Microsoft Update หรือดาวน์โหลดอัปเดทมาติดตั้งด้วยตนเองได้จากเว็บไซต์
หมายเหตุ: การดาวน์โหลดบางตัวจะมีการตรวจสอบ Windows ของแท้ (Windows Genuine Validation) ก่อนการดาวน์โหลด
ความเห็นผู้เขียน
เพื่อความปลอดภัย ขอแนะนำให้ผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบทำการติดตั้งอัปเดทที่เหมาะสมในทันทีที่ทำได้
แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2916652)
KB2677070
KB2917500
Copyright © 2013 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment