|
CERT Advisory CA-2006-18
(Technical Cyber Security Alert TA06-132B)
Apple QuickTime Vulnerabilities
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA06-132B.html
เรียบเรียงโดย : ภัทราวดี
เหมทานนท์ และ เลอศักดิ์
ลิ้มวิวัฒน์กุล
ระบบที่ได้รับผลกระทบ
- Apple Mac OS X
- Microsoft Windows
กล่าวโดยทั่วไป
พบช่องโหว่ในโปรแกรม
QuickTime ของ Apple ที่สามารถยอมให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกลหรือทำให้ระบบไม่สามารถให้บริการได้
I. คำอธิบาย
การปรับปรุงความปลอดภัยตามเอกสารนี้สามารถแก้ปัญหาช่องโหว่ในการจัดการข้อมูลไฟล์ภาพและมัลติมีเดียของโปรแกรม
QuickTime 7.1
ผู้บุกรุกสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการหลอกล่อให้ผู้ใช้งานเข้าถึงรูปภาพหรือไฟล์ภาพเคลื่อนไหวและให้เปิดด้วยโปรแกรม
QuickTime ที่มีช่องโหว่ นอกจากนี้ยังสามารถใช้ประโยชน์จากช่องโหว่ผ่านทางเว็บบราวเซอร์ได้จากการที่โปรแกรม
QuickTime ถูกติดตั้งเป็นโปรแกรมเสริมการทำงานสำหรับการประมวลผลไฟล์ภาพหรือเสียง
สามาถอ่านข้อมูลเพิ่มเติมได้จากคำอธิบายช่องโหว่
II. ผลกระทบ
ผู้บุกรุกสามารถ สั่งรันโปรแกรมจากระยะไกล
โดยที่ไม่ต้องพิสูจน์ตัวตน และทำให้ระบบไม่สามารถให้บริการได้ สามารถศึกษาเพิ่มเติมได้จาก
Vulnerability
Notes
III วิธีแก้ไข
ติดตั้งโปรแกรมอุดช่องโหว่
ปรับปรุงโปรแกรมเป็นเวอร์ชัน QuickTime
7.1.
การปรับปรุงช่องโหว่นี้หรือการปรับปรุงช่องโหว่อื่นสำหรับระบบปฏิบัติการ
Mac OS X สามารถหาได้ที่ Apple
Update
วิธีแก้ไขปัญหาชั่วคราว
ผู้บุกรุกสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการหลอกล่อให้ผู้ใช้งานเข้าถึงไฟล์ด้วยเว็บบราวเซอร์
ทำให้ QuickTime ใช้หยุดทำงานบนเว็บบราวเซอร์ สามารถอ่านข้อมูลเพิ่มเติมวิธีการเพิ่มความปลอดภัยของเว็บบราวเซอร์ได้จากเอกสาร
Securing
Your Web Browser
Appendix A. References
|
