ระบบที่ได้รับผลกระทบ
- Microsoft Internet Explorer
- Microsoft Outlook Express
- ซอฟต์แวร์อื่นที่ใช้คอมโพเน็นต์ของ Internet Explorer ในประมวลเอกสารเพื่อแสดงผล (เรนเดอร์: render)
เช่นโปรแกรม MSN/Windows Live Messenger, Realplayer, Visual Studio หรือแม้กระทั่ง ie tab ใน ff และอื่นๆอีกมากมายที่ผมนึกไม่ออก
คำอธิบาย
เว็บบราวเซอร์ Microsoft Internet Explorer มีช่องโหว่พอยน์เตอร์ผิดปกติ (invalid pointer) ในโค้ดของการผูกพันข้อมูล (data binding) เมื่อ Internet Explorer เรนเดอร์เอกสารที่มีการผูกพันข้อมูล ตัวโปรแกรมอาจหยุดทำงานและถูกใช้รันคำสั่งใดๆ ได้ โปรแกรมใดที่ใช้ชุดประมวลการจัดหน้าเอกสาร MSHTML (MSHTML layout engine) ของ Internet Explorer เช่น เมล์ไคลเอ็นต์ Outlook Express อาจมีความเสี่ยงต่อช่องโหว่นี้ รายละเอียดเพิ่มเติมสามารถอ่านได้ที่บันทึกช่องโหว่ VU#493881 ของ US-CERT
ผลกระทบ
ผู้บุกรุกสามารถรันคำสั่งด้วยสิทธิของผู้ใช้ ด้วยการหลอกให้ผู้ใช้เปิดเอกสารที่มีการผูกพันข้อมูลซึ่งสร้างมาสำหรับบุกรุก เช่น หน้าเว็บ ข้อความอีเมล์ หรือเอกสารแนบ เป็นต้น
วิธีแก้ไข
ติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของไมโครซอฟท์
วิธีการแก้ไขช่องโหว่นี้ได้ถูกเผยแพร่ใน Microsoft Security Bulletin MS08-078 โปรแกรมซ่อมแซมช่องโหว่นี้ได้เพิ่มไฟล์ mshtml.dll และ wmshtml.dll เวอร์ชันใหม่ขึ้นกับระบบปฏิบัติการที่ติดตั้ง รายละเอียดเพิ่มเติมสามารถอ่านได้ที่บทความในฐานความรู้ของไมโครซอฟท์ 960714
ระงับการใช้งาน Active Scripting
การหลีกเลี่ยงอันตรายจากช่องโหว่นี้สามารถทำได้โดยระงับการใช้งาน Active Scripting ใน Internet Zone ตามที่ระบุในเอกสาร Securing Your Web Browser อย่างไรก็ตามการระงับการใช้งาน Active Scripting ไม่ได้เป็นการป้องกันช่องโหว่นี้ Internet Explorer ยังคงหยุดทำงานหากเปิดเนื้อหาที่สร้างมาสำหรับบุกรุก แต่การระงับการใช้งาน Active Scripting ช่วยให้หลีกเลี่ยงการรันคำสั่งโดยอาศัยช่องโหว่นี้เท่านั้น
เปิดใช้งาน DEF ใน Internet Explorer 7
การเปิดใช้งาน DEF (Data Execution Prevention) ใน Internet Explorer 7 บนระบบปฏิบัติการวินโดวส์ วิสต้า (Windows Vista) ช่วยให้หลีกเลี่ยงช่องโหว่ โดยสร้างความยุ่งยากต่อการรันคำสั่งใดๆ โดยอาศัยช่องโหว
source :
Thai – http://www.thaicert.org/advisory/cert/CA-2008-36.php
Eng – http://www.us-cert.gov/cas/techalerts/TA08-352A.html
Original release date: December 17, 2008
