|
ชื่อ : Microsoft Internet Explorer JavaScript
windows() Code Execution Vulnerability
ค้นพบเมื่อ : 22 พฤศจิกายน 2548
เรียบเรียงโดย : ปิยวัฒน์
เลื่อนสุคันธ์
กล่าวโดยทั่วไป
ช่องโหว่ที่มีความรุนแรงระดับสูง เกิดจากการประมวลผลภาษาสคริปต์
Java ของ Microsoft Internet Explorer ที่สามารถส่งผลให้ผู้บุกรุกสั่งรันโปรแกรมได้จากระยะไกลได้
ช่องโหว่ดังกล่าวเกิดขึ้นภายในฟังก์ชัน windows() เมื่อเรียกใช้งานผ่านฟังก์ชัน
onload()
ช่องโหว่ที่เกิดขึ้นได้รับการยืนยันว่ามีผลกระทบกับโปรแกรม
Internet Explorer บนระบบปฏิบัติการ Windows XP ที่ติดตั้ง Service
Pack 1 และ Service Pack 2 รวมถึงระบบปฏิบัติการ Windows 2000 ที่ได้รับการติดตั้งโปรแกรมปรับปรุงช่องโหว่ล่าสุดแล้ว
สำหรับรายละเอียดเพิ่มเติมของช่องโหว่อยู่ที่ http://www.microsoft.com/technet/security/advisory/911302.mspx
ผลกระทบของช่องโหว่นี้
ผู้บุกรุกจากระยะไกลสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่นี้ในระดับสิทธิของผู้ที่เข้าสู่ระบบ
ซึ่งสามารถเป็นถึงผู้ดูแลระบบหรือผู้ใช้งานทั่วไป นอกจากนี้ผลกระทบดังกล่าวอาจส่งผลให้เครื่องผู้ใช้ทั่วไปได้รับผลกระทบจากหนอนอินเตอร์เน็ตหรือไวรัสในอนาคตได้
นอกจากนั้นผู้บุกรุกยังอาจทำให้ระบบไม่สามารถให้บริการได้
ระดับความรุนแรง
สูงสุด (Critical)
ระบบที่ได้รับผลกระทบ
- Microsoft Internet Explorer 6 for Microsoft Windows
XP SP2
- Microsoft Internet Explorer 6 SP1 on Microsoft
Windows XP SP1
- Microsoft Internet Explorer 6 SP1 on Microsoft
Windows 2000 SP4
- Microsoft Internet Explorer 5.01 SP4 on Microsoft
Windows 2000 SP4
วิธีแก้ไขปัญหาชั่วคราว
* ช่องโหว่ดังกล่าวยังไม่มีโปรแกรมปรับปรุงช่องโหว่อย่างเป็นทางการจากไมโครซอฟท์
*
การป้องกันชั่วคราวเพื่อลดความเสี่ยงต่อช่องโหว่ชนิดนี้คือ
เอกสารอ้างอิง
|
