Pages - Menu

Pages - Menu

Pages

Friday, December 13, 2013

ไมโครซอฟท์ยกเลิก Digital Certificates ที่ออกโดยไม่ถูกต้องออกจาก Certificate Trust List มีผลกระทบ Windows ทุกเวอร์ชัน

เนื่องจากมีการออกใบรับรองดิจิตอลโดยไม่ถูกต้องโดย Directorate General of the Treasury (DG Trésor) ซึ่งเป็นหน่วยงานของรัฐบาลฝรั่งเศส (ANSSI) ไมโครซอฟท์จึงทำการลบใบรับรองดิจิตอลเหล่านั้นออกจาก Certificate Trust List (CTL) โดยจะมีผลกระทบกับ Windows ทุกเวอร์ชันทั้งเวอร์ชันลูกข่ายและแม่ข่าย

สำหรับใบรับรองดิจิตอลที่ออกโดยไม่ถูกต้องนี้ แฮกเกอร์สามารถใช้โจมตีผู้ใช้ Windows โดยการสร้างเนื้อหาที่หลอกลวง (spoof content), ทำการโจมตีแบบฟิชชิ่ง (phishing attacks) หรือทำการโจมตีแบบ man-in-the-middle ได้ ซึ่งใบรับรองดิจิตอลที่มีปัญหาเหล่านี้ถูกใช้ในการออกใบรับรอง SSL ให้เว็บไซต์ต่างๆ ไปแล้วหลายเว็บไซต์ด้วยกันรวมถึงเว็บไซต์ที่อยู่ในเครือกูเกิล

วิธีการยกเลิกใบรับรองดิจิตอลที่ออกโดยไม่ถูกต้อง
ไมโครซอฟท์ได้ทำการยกเลิกใบรับรองดิจิตอลที่ไม่น่าเชื่อถือออกจาก CTL เรียบร้อยแล้ว ซึ่งจะมีผลโดยอัตโนมัติกับผู้ใช้ Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 และ Windows Server 2012 R2 และอุปกรณ์ระบบ Windows Phone 8 เนื่องจากเวอร์ชันเหล่านี้มีระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติ (automatic updater of revoked certificates) ในตัว

สำหรับผู้ใช้ Windows Vista, Windows 7, Windows Server 2008 หรือ Windows Server 2008 R2 ที่ติดตั้งระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติจะทำการยกเลิกใบรับรองดิจิตอลที่มีปัญหาออกจาก CTLโดยอัตโนมัติ สำหรับผู้ที่ไม่ได้ติดตั้งระบบอัปเดทใบรับรองดิจิตอลอัตโนมัติ สามารถดาวน์โหลดอัปเดทมาติดตั้งได้ตนเองได้จากเว็บไซต์

สำหรับผู้ใช้ Windows XP และ Windows Server 2003 สามารถยกเลิกใบรับรองดิจิตอลที่ไม่น่าเชื่อถือออกจาก CTL ได้โดยการติดตั้งอัปเดท KB2917500 ซึ่งสามารถติดตั้งผ่านทางเว็บไซต์ Microsoft Update หรือดาวน์โหลดอัปเดทมาติดตั้งด้วยตนเองได้จากเว็บไซต์


หมายเหตุ: การดาวน์โหลดบางตัวจะมีการตรวจสอบ Windows ของแท้ (Windows Genuine Validation) ก่อนการดาวน์โหลด

ความเห็นผู้เขียน
เพื่อความปลอดภัย ขอแนะนำให้ผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบทำการติดตั้งอัปเดทที่เหมาะสมในทันทีที่ทำได้

แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2916652)
KB2677070
KB2917500

Copyright © 2013 TWA Blog. All Rights Reserved.

No comments:

Post a Comment

เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML