CERT Advisory CA-2006-21 (Technical Cyber Security Alert TA06-164A)
Microsoft Windows, Internet Explorer, Media Player, Word, PowerPoint, and Exchange Vulnerabilities
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA06-164A.html
เรียบเรียงโดย : กิติศักดิ์ จิรวรรณกูล

ระบบที่ได้รับผลกระทบ

• Microsoft Windows
• Microsoft Windows Media Player
• Microsoft Internet Explorer
• Microsoft PowerPoint for Windows and Mac OS X
• Microsoft Word for Windows
• Microsoft Office
• Microsoft Works Suite
• Microsoft Exchange Server Outlook Web Access

สามารถดูข้อมูลเพื่อเติมได้ที่ Microsoft Security Bulletin Summary for June 2006

กล่าวโดยทั่วไป

ไมโครซอฟท์ประกาศแจ้งเตือนช่องโหว่ที่มีระดับความสำคัญสูงสุดเกี่ยวกับชุดโปรแกรมของ Microsoft Windows, Word, PowerPoint, Media Player, Internet Explorer, และ Exchange Server การใช้ประโยชน์จากช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกที่ไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้จากระยะไกล หรือทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

แถลงการณ์จากไมโครซอฟท์ประจำเดือนมิถุนายน 2549 ได้กล่าวถึงช่องโหว่บนระบบปฏิบัติการไมโครซอฟต์วินโดว์ส โปรแกรม Microsoft Windows, Word, PowerPoint, Media Player, Internet Explorer, และ Exchange Server ซึ่งข้อมูลโดยย่อของแต่ละช่องโหว่จาก US-CERT Vulnerability Notes มีดังนี้

VU#722753 - Microsoft IP Source Route Vulnerability
ช่องโหว่นี้ในไมโครซอฟท์วินโดว์สจะอนุญาตให้ผู้โจมตีจากระยะไกลสามารถเอ็กซิคิวต์โปรแกรมบนระบบที่มีช่องโหว่นี้ได้ (CVE-2006-2379)

VU#446012 - Microsoft Word object pointer memory corruption vulnerability
ช่องโหว่นี้ทำให้หน่วยความจำในโปรแกรมไมโครซอฟท์เวิร์ดเสีย อนุญาตให้ผู้โจมตีจากระยะไกลสามารถรันโปรแกรมโดยใช้สิทธิ์ของผู้ใช้งานที่กำลังรันโปรแกรมเวิร์ด (CVE-2006-2492)

VU#190089 - Microsoft PowerPoint malformed record vulnerability
ไมโครซอฟท์เพาเวอร์พอยต์ไม่สามารถเก็บข้อมูลได้อย่างปกติทำให้ผู้โจมตีสามารถเอ็กซิคิวต์โปรแกรมได้จากระยะไกล (CVE-2006-0022)

VU#923236 - Microsoft Windows ART image handling buffer overflow
โปรแกรมไมโครซอฟท์วินโดว์ส ART image มีช่องโหว่ประเภทหน่วยความจำล้นแบบฮีพ (Heap-based buffer overflow) อาจทำให้ผู้บุกรุกจากระยะไกล โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้ (CVE-2006-2378)

VU#390044 - Microsoft JScript memory corruption vulnerability
ไมโครซอฟท์ JScript บรรจุช่องโหว่ที่ทำให้ข้อมูลเดิมในหน่วยความจำเสียหาย ช่องโหว่นี้จะอนุญาตให้ผู้บุกรุกจากระยะไกล โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้ (CVE-2006-1313)

VU#338828 - Microsoft Internet Explorer exception handling vulnerability
โปรแกรมไมโครซอฟท์ Internet Explorer ไม่สามารถจัดการข้อผิดพลาดได้อย่างถูกต้อง ช่องโหว่นี้จะอนุญาตให้ผู้บุกรุกจากระยะไกล โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้ (CVE-2006-2218)

VU#417585 - Microsoft DXImageTransform Light filter fails to validate input
ออบเจ็กต์ Microsoft DXImageTransform Light COM ไม่สามารถใช้งานอินพุตได้ อาจส่งผลให้ผู้บุกรุกจากระยะไกลสามารถรันโค้ดบนระบบที่มีช่องโหว่นี้ได้ (CVE-2006-2383)

VU#959049 - Multiple COM objects cause memory corruption in Microsoft Internet Explorer
โปรแกรมไมโครซอฟท์ Internet Explorer อนุญาตให้ค่าคงที่ของออบเจ็กต์ COM ที่ไม่ได้ถูกออกแบบมาใช้ในบราวเซอร์ ซึ่งสามารถทำให้ผู้บุกรุกจากระยะไกลสามารถรันโค้ดหรือทำให้โปรแกรม IE ไม่สามารถใช้งานได้ต่อไป (CVE-2006-2127)

VU#136849 - Microsoft Internet Explorer UTF-8 decoding vulnerability
โปรแกรมไมโครซอฟท์ Internet Explorer ไม่สามารถถอดรหัส HTML ที่เข้ารหัสด้วย UTF-8 ช่องโหว่นี้จะอนุญาตให้ผู้บุกรุกจากระยะไกล โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้ (CVE-2006-2382)

VU#909508 - Microsoft Graphics Rendering Engine fails to properly handle WMF images
ไมโครซอฟท์วินโดว์ส Graphics Rendering Engine บรรจุช่องโหว่ที่อนุญาตให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดบนระบบได้ (CVE-2006-2376)

VU#608020 - Microsoft Windows Media Player PNG processing buffer overflow
ไมโครซอฟท์วินโดว์ส Media Player บรรจุช่องโหว่ประเภทหน่วยความจำล้นแบบ stack (Stack-based buffer overflow) ที่อนุญาตให้ผู้บุกรุกจากระยะไกล โดยไม่จำเป็นต้องยืนยันตัวตนก่อนใช้งาน สามารถรันโค้ดบนระบบดังกล่าวได้ (CVE-2006-0025)

VU#814644 - Microsoft Remote Access Connection Manager service vulnerable to buffer overflow
ช่องโหว่ในโปรแกรมไมโครซอฟท์ Remote Access Connection Manager นั้นจะอนุญาตให้ผู้บุกรุกจากระยะไกลสามารถรันโค้ดได้ (CVE-2006-2371)

VU#631516 - Microsoft Routing and Remote Access does not properly handle RPC requests
มีช่องโหว่ในโปรแกรมไมโครซอฟท์วินโดว์ส Routing and Remote Access Service ที่จะอนุญาตให้ผู้บุกรุกควบคุมระบบที่มีผลกระทบได้ (CVE-2006-2370)

VU#138188 - Microsoft Outlook Web Access for Exchange Server script injection vulnerability
ช่องโหว่ของการป้อนสคริปต์มีอยู่แล้วในโปรแกรมไมโครซอฟท์ Exchange Server โดยการรัน Outlook Web Access (CVE-2006-1193)

ใน MS06-027 ไมโครซอฟท์ประกาศแจ้งเตือนการปรับปรุงสำหรับช่องโหว่ของโปรแกรมเวิร์ดที่ถูกอธิบายไว้ใน Technical Cyber Security Alert TA06-139A

II. ผลกระทบ

ผู้บุกรุกจากระยะไกล โดยไม่จำเป็นต้องยืนยันตัวตนก่อนใช้งานสามารถรันโค้ดบนระบบที่มีช่องโหว่ นอกจากนี้ผู้โจมตีสามารถทำให้เกิดการปฏิเสธการให้บริการได้

III วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่

ไมโครซอฟท์บริการดาวน์โหลดและติดตั้งโปรแกรมซ่อมแซมช่องโหว่ได้ตามลิงก์ Security Bulletin และ Microsoft Update

วิธีแก้ไขปัญหาชั่วคราว

ดูวิธีแก้ไขปัญหาชั่วคราวได้จากลิงก์ US-CERT Vulnerability Notes

Appendix A. References

• Microsoft Security Bulletin Summary for June 2006 - <http://www.microsoft.com/technet/security/bulletin/ms06-jun.mspx>
• Technical Cyber Security Alert TA06-139A - <http://www.us-cert.gov/cas/techalerts/TA06-139A.html>
• US-CERT Vulnerability Notes for Microsoft Updates for June 2006 - <http://www.kb.cert.org/vuls/byid?searchview&query=ms06-june>
• US-CERT Vulnerability Note VU#446012 - <http://www.kb.cert.org/vuls/id/446012>
• US-CERT Vulnerability Note VU#190089 - <http://www.kb.cert.org/vuls/id/190089>
• US-CERT Vulnerability Note VU#923236 - <http://www.kb.cert.org/vuls/id/923236>
• US-CERT Vulnerability Note VU#390044 - <http://www.kb.cert.org/vuls/id/390044>
• US-CERT Vulnerability Note VU#338828 - <http://www.kb.cert.org/vuls/id/338828>
• US-CERT Vulnerability Note VU#417585 - <http://www.kb.cert.org/vuls/id/417585>
• US-CERT Vulnerability Note VU#136849 - <http://www.kb.cert.org/vuls/id/136849>
• US-CERT Vulnerability Note VU#909508 - <http://www.kb.cert.org/vuls/id/909508>
• US-CERT Vulnerability Note VU#722753 - <http://www.kb.cert.org/vuls/id/722753>
• US-CERT Vulnerability Note VU#959049 - <http://www.kb.cert.org/vuls/id/959049>
• US-CERT Vulnerability Note VU#138188 - <http://www.kb.cert.org/vuls/id/138188>
• US-CERT Vulnerability Note VU#608020 - <http://www.kb.cert.org/vuls/id/608020>
• US-CERT Vulnerability Note VU#814644 - <http://www.kb.cert.org/vuls/id/814644>
• US-CERT Vulnerability Note VU#631516 - <http://www.kb.cert.org/vuls/id/631516>
• CVE-2006-2492 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2492>
• CVE-2006-0022 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0022>
• CVE-2006-2378 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2378>
• CVE-2006-1313 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1313>
• CVE-2006-2218 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2218>
• CVE-2006-2383 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2383>
• CVE-2006-2127 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2127>
• CVE-2006-2382 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2382>
• CVE-2006-2376 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2376>
• CVE-2006-2379 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2379>
• CVE-2006-1193 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1193>
• CVE-2006-0025 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0025>
• CVE-2006-2371 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2371>
• CVE-2006-2370 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2370>
• Microsoft Update - <https://update.microsoft.com/microsoftupdate>
• Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/#Internet_Explorer>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์