ThaiCERT : Advisories & Alerts : CERT : CA-2006-30

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2006-30 (Technical Cyber Security Alert TA06-262A)
Microsoft Internet Explorer VML Buffer Overflow
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA06-262A.html
เรียบเรียงโดย: ภัทราวดี เหมทานนท์

ระบบที่ได้รับผลกระทบ

Microsoft Windows
Microsoft Internet Explorer

กล่าวโดยทั่วไป

Microsoft Internet Explorer (IE) ไม่สามารถจัดการกับการแปลภาษา Vector Markup Language (VML) อย่างเหมาะสม ทำให้เกิดช่องโหว่หน่วยความจำล้นซึ่งมีผลให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลได้

I. คำอธิบาย

Microsoft Internet Explorer มีช่องโหว่หน่วยความจำล้นของสแตกในส่วนที่จัดการ VML รายละเอียดเพิ่มเติมสามารถอ่านได้จากบันทึกช่องโหว่ VU#416092 และเอกสารแนะนำด้านความปลอดภัยของไมโครซอฟท์ 925568

หมายเหตุ ช่องโหว่ดังกล่าวนี้สามารถถูกโจมตีได้แล้ว

II. ผลกระทบ

ผู้บุกรุกหลอกล่อให้ผู้ใช้งานเปิดเอกสาร HTML ที่สร้างขึ้นเป็นพิเศษ เช่น หน้าเว็บหรือข้อความอีเมลแบบ HTML เพื่อสั่งรันโปรแกรมจากระยะไกลด้วยสิทธิของผู้ใช้งานที่รัน IE

III การแก้ไข

ปัจจุบันยังไม่มีวิธีการแก้ไขปัญหาที่ได้ผลแน่นอน และจนกว่าจะมีโปรแกรมอุดช่องโหว่ออกมาสามารถป้องกันได้ด้วยวิธีต่อไปนี้

ยกเลิกการใช้ VML ใน IE

ข้อแนะนำด้านความปลอดภัยของไมโครซอฟท์ (925568) ให้ยกเลิกการใช้งาน VML ใน IE ดังต่อไปนี้

ยกเลิกการใช้งาน Vgx.dll บนระบบปฏิบัติการ Windows XP Service Pack 1, Service Pack 2, Windows Server 2003 และ Windows Server 2003 Service Pack 1
ปรับเปลี่ยน Access Control List บน Vgx.dll ให้จำกัดการเข้าถึง
ปรับให้ Internet Explorer 6 สำหรับ Microsoft Windows XP Service Pack 2 ยกเลิกการใช้ Binary และ Script Behaviors ในโซนปลอดภัยของอินเตอร์เน็ตและโลคอลอินเตอร์เน็ต

การยกเลิกใช้งาน VML อาจส่งผลให้เว็บไซต์ที่ใช้ฟังก์ชัน VML ทำงานไม่ถูกต้องได้

แสดงอีเมลอยู่ในรูปแบบ plain text

ข้อแนะนำด้านความปลอดภัยของไมโครซอฟท์ (925568) ให้ปรับโปรแกรม Microsoft Outlook และ Outlook Express ให้แสดงข้อความอีเมลในรูปแบบ plain text

ไม่คลิกลิงก์ที่ไม่ต้องการ

เพื่อหลอกล่อผู้ใช้งานเข้าเว็บไซต์ ผู้บุกรุกมักใช้การเข้ารหัส URL, การเปลี่ยนไปใช้หมายเลข IP, การใช้ URL ที่ยาว, การสะกดผิดโดยเจตนาและเทคนิคอื่นๆ ที่จะสร้างลิงก์ที่สับสน ไม่ควรคลิกลิงก์ดังกล่าวในอีเมล, ข้อความแจ้งทันที, เว็บแสดงความคิดหรือ IRC แนะนำให้พิมพ์ URL โดยตรงบนเว็บบราวเซอร์เพื่อป้องกันการคลิกลิงก์ที่ไม่ต้องการ วิธีปฏิบัติด้านความปลอดภัยที่ดีโดยทำตามคำแนะนำดังที่กล่าวมาแล้วอาจไม่สามารถป้องกันการบุกรุกทางช่องโหว่ได้ทุกกรณี เช่น กรณีเว็บไซต์ที่เชื่อใจถูกบุกรุกไปแล้วหรืออนุญาตให้มีการใช้ cross-site script เป็นต้น

Appendix A. References

Vulnerability Note VU#416092 - <http://www.kb.cert.org/vuls/id/416092>
Securing Your Web Browser- <http://www.us-cert.gov/reading_room/securing_browser/#Internet_Explorer>
Microsoft Security Advisory (925568) - <http://www.microsoft.com/technet/security/advisory/925568.mspx>
CVE-2006-4868 - <http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4868>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์