CERT Advisory CA-2006-27 (Technical Cyber Security Alert TA06-220A)
Microsoft Windows, office, and Internet Explorer Vulnerabilities
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA06-220A.html
เรียบเรียงโดย : พุธ นาฑีสุวรรณ

ระบบที่ได้รับผลกระทบ

• Microsoft Windows
• Microsoft Office (Windows and Mac)
• Microsoft Works Suite
• Microsoft Visual Basic Basic for Applications (VBA)
• Microsoft Internet Explorer

  สามารถดูข้อมูลเพื่อเติมได้ที่ แถลงการณ์จากไมโครซอฟท์ประจำเดือนสิงหาคม 2549
  

กล่าวโดยทั่วไป

ไมโครซอฟท์ได้แจ้งเตือนช่องโหว่ที่มีระดับความสำคัญสูงจำนวนหนึ่งภายในระบบปฏิบัติการ Microsoft Windows Microsoft Office Microsoft Works Suite Microsoft Visual Basic Basic for Applications (VBA) และ Microsoft Internet Explorer การใช้ประโยชน์จากช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกที่ไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้จากระยะไกล หรือทำให้ระบบไม่สามารถให้บริการได้

การแจ้งเตือนหมายเลข MS06-040 ในครั้งนี้ เกี่ยวโยงกับช่องโหว่ที่เคยประกาศไปแล้วภายในประกาศของ Microsoft Server Service (VU#650769) แต่พบว่าช่องโหว่ดังกล่าวยังถูกผู้บุกรุกสามารถโจมตีได้อยู่

I. คำอธิบาย

แถลงการณ์จากไมโครซอฟท์ประจำเดือนสิงหาคม 2549 ได้กล่าวถึงช่องโหว่ภายในระบบปฏิบัติการ Microsoft Windows Microsoft Office และ Microsoft Internet Explorer

ซึ่งข้อมูลโดยย่อของแต่ละช่องโหว่จาก US-CERT Vulnerability Notes มีดังนี้

VU#650769 - Microsoft Windows Server service buffer overflow
ช่องโหว่ประเภทหน่วยความจำล้นแบบ Stack-based ภายในบริการของ Windows Server service ช่องโหว่นี้อาจทำให้ผู้บุกรุกระบบจากระยะไกล ซึ่งไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่ด้วยสิทธิของระบบ (SYSTEM privileges)
(CVE-2006-3439)

หมายเหตุ จากการตรวจสอบพบว่าช่องโหว่ VU#650769 ดังกล่าวยังถูกผู้บุกรุกสามารถโจมตีได้อยู่

VU#908276 - Microsoft Winsock buffer overflow
ช่องโหว่ประเภทหน่วยความจำล้นภายในโปรแกรม Microsoft Winsock ช่องโหว่นี้อาจทำให้ผู้บุกรุกระบบจากระยะไกล ซึ่งไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่
(CVE-2006-3440)

VU#794580 - Microsoft DNS Client buffer overflow
โปรแกรม Microsoft DNS Client service มีช่องโหว่ที่อาจทำให้ผู้บุกรุกระบบจากระยะไกล สามารถยึดครองระบบไว้ได้ทั้งหมด
(CVE-2006-3441)

VU#883108 - Microsoft Internet Explorer HTML Document object cross-domain vulnerability
โปรแกรม Microsoft Internet Explorer มีช่องโหว่ประเภท cross-domain ซึ่งมีหน้าที่ในการจัดการด้านการส่งผ่านข้อมูล (redirect object data) ช่องโหว่นี้อาจทำให้ผู้บุกรุกที่อยู่ต่างโดเมนสามารถเข้าถึงข้อมูลภายในเว็บเพจได้
(CVE-2006-3280)

VU#119180 - Microsoft Internet Explorer fails to properly interpret layout positioning
โปรแกรม Microsoft Internet Explorer มีข้อผิดพลาดในการจัดการตำแหน่งของข้อมูลภายในเว็บเพจ (layout positioning) ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3450)

VU#262004 - Microsoft Internet Explorer fails to properly handle chained Cascading Style Sheets
โปรแกรม Microsoft Internet Explorer มีข้อผิดพลาดในการจัดการข้อมูลประเภท Cascading Style Sheets (CSS) ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3451)

VU#340060 - Microsoft Internet Explorer HTML layout rendering vulnerability
โปรแกรม Microsoft Internet Explorer มีข้อผิดพลาดในการกำหนดตำแหน่งแสดงข้อมูล HTML (HTML layout) ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3637)

VU#959049 - Multiple COM objects cause memory corruption in Microsoft Internet Explorer
โปรแกรม Microsoft Internet Explorer อนุญาตให้สามารถสั่งรันออปเจ็กต์ประเภท COM ซึ่งไม่ได้ถูกออกแบบมาสำหรับใช้งานในบราวเซอร์ ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่ หรือ ทำให้บราวเซอร์ IE เสียหายได้
(CVE-2006-3638)

VU#252764 - Microsoft Internet Explorer source element cross-domain vulnerability
โปรแกรม Microsoft Internet Explorer มีข้อผิดพลาดในจัดการข้อมูลต้นทาง (source elements) ที่ใช้เพื่อการส่งผ่านข้อมูล (redirect) ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3639)

VU#891204 - Microsoft Windows fails to properly parse the MHTML protocol
โปรแกรม Microsoft Internet Explorer มีข้อผิดพลาดในการจัดการข้อมูล MHTML ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-2766)

VU#927548 - Microsoft Management Console cross-site scripting vulnerability
โปรแกรม Microsoft Management Console (MMC) มีข้อผิดพลาดในการจัดการสคริปต์ประเภท cross-site scripting ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3643)

VU#159484 - Microsoft Visual Basic for Applications buffer overflow
โปรแกรม Microsoft Visual Basic มีข้อผิดพลาดในการตรวจสอบคุณสมบัติของเอกสาร (validate document properties) ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3649)

VU#936945 - Microsoft PowerPoint contains an unspecified remote code execution vulnerability
โปรแกรม Microsoft PowerPoint มีช่องโหว่ที่อาจทำให้ผู้บุกรุกระบบจากระยะไกล ซึ่งไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่
(CVE-2006-3590)

VU#884252 - Microsoft PowerPoint fails to properly handle malformed records
โปรแกรม Microsoft PowerPoint มีข้อผิดพลาดในการจัดการเรคคอร์ด ประเภท malformed record ส่งผลให้เกิดช่องโหว่ประเภทหน่วยความจำล้น อาจทำให้ผู้บุกรุกระบบจากระยะไกล ไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่
(CVE-2006-3449)

VU#411516 - Microsoft Windows kernel fails to properly manage exception handling
พบข้อผิดพลาดในโมดูลด้านการบริหารจัดการ Exception Case ภายใน Microsoft Windows kernel ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมไปยังเครื่องที่มีช่องโหว่
(CVE-2006-3648)

II. ผลกระทบ

การใช้ประโยชน์จากช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกระบบจากระยะไกล ซึ่งไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่เหล่านี้ โดยอาจได้สิทธิในระดับของผู้ดูแลระบบหรือผู้ใช้งานได้ ถ้าผู้ใช้งานล็อกออนในฐานะผู้ดูแลระบบ ผู้บุกรุกก็จะได้สิทธิในระดับของผู้ดูแลระบบและสามารถยึดครองระบบไว้ได้ทั้งหมด นอกจากนี้แล้วผู้บุกรุกยังอาจทำให้ระบบไม่สามารถให้บริการได้

III วิธีแก้ไข

ติดตั้งโปรแกรมปรับปรุงช่องโหว่จากไมโครซอฟท์

ไมโครซอฟท์ให้บริการโปรแกรมสำหรับปรับปรุงเพื่อป้องกันช่องโหว่ที่ Security Bulletins ประจำเดือนสิงหาคม 2549

ข้อควรระวัง : ในการติดตั้งโปรแกรมปรับปรุง ต้องติดตั้งโปรแกรมปรับปรุงหมายเลข VU#650769 ก่อน

หลังจากติดตั้งโปรแกรมปรับปรุงหมายเลข VU#650769 แล้ว จึงจะสามารถทำการปรับปรุงระบบปฏิบัติการ Microsoft Windows และ
Microsoft Office XP ได้ตามลำดับ ในส่วนของ Microsoft Office 2000 สามารถหาโปรแกรมปรับปรุงได้จาก
เว็บไซต์ Microsoft Update Site ส่วน โปรแกรม Microsoft Office สำหรับ MAC OS X สามารถหาโปรแกรม
ปรับปรุงได้จากเว็บไซต์ Mactopia

ผู้ดูแลระบบอาจพิจารณาใช้โปรแกรม Windows Server update Services (WSUS) เพื่อช่วยให้การติดตั้งโปรแกรมปรับปรุง
มีความสะดวกยิ่งขึ้น

Appendix A. References

• Microsoft Security Bulletin Summary for August 2006 - <http://www.microsoft.com/technet/security/bulletin/ms06-aug.mspx>
• US-CERT Vulnerability Notes for Microsoft August 2006 updates - <http://www.kb.cert.org/vuls/byid?searchview&query=ms06-aug>
• US-CERT Vulnerability Note VU#650769 - <http://www.kb.cert.org/vuls/id/650769>
• US-CERT Vulnerability Note VU#908276 - <http://www.kb.cert.org/vuls/id/908276>
• US-CERT Vulnerability Note VU#794580 - <http://www.kb.cert.org/vuls/id/794580>
• US-CERT Vulnerability Note VU#883108 - <http://www.kb.cert.org/vuls/id/883108>
• US-CERT Vulnerability Note VU#119180 - <http://www.kb.cert.org/vuls/id/119180>
• US-CERT Vulnerability Note VU#262004 - <http://www.kb.cert.org/vuls/id/262004>
• US-CERT Vulnerability Note VU#340060 - <http://www.kb.cert.org/vuls/id/340060>
• US-CERT Vulnerability Note VU#959049 - <http://www.kb.cert.org/vuls/id/959049>
• US-CERT Vulnerability Note VU#252764 - <http://www.kb.cert.org/vuls/id/252764>
• US-CERT Vulnerability Note VU#891204 - <http://www.kb.cert.org/vuls/id/891204>
• US-CERT Vulnerability Note VU#927548 - <http://www.kb.cert.org/vuls/id/927548>
• US-CERT Vulnerability Note VU#159484 - <http://www.kb.cert.org/vuls/id/159484>
• US-CERT Vulnerability Note VU#936945 - <http://www.kb.cert.org/vuls/id/936945>
• US-CERT Vulnerability Note VU#884252 - <http://www.kb.cert.org/vuls/id/884252>
• US-CERT Vulnerability Note VU#411516 - <http://www.kb.cert.org/vuls/id/411516>
• CVE-2006-3439 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3439>
• CVE-2006-3440 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3440>
• CVE-2006-3441 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3441>
• CVE-2006-3280 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3280>
• CVE-2006-3450 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3450>
• CVE-2006-3451 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3451>
• CVE-2006-3637 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3637>
• CVE-2006-3639 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3639>
• CVE-2006-2127 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2127>
• CVE-2006-2766 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2766>
• CVE-2006-3643 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3643>
• CVE-2006-3649 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3649>
• CVE-2006-3590 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3590>
• CVE-2006-3449 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3449>
• CVE-2006-3648 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3648>
• Microsoft Update - <https://update.microsoft.com/microsoftupdate/>
• Microsoft Office Update - <http://officeupdate.microsoft.com/>
• Mactopia - <http://www.microsoft.com/mac>
• Windows Server Update Services - <http://www.microsoft.com/windowsserversystem/updateservices/default.mspx>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์