ThaiCERT : Advisories & Alerts : CERT : CA-2006-31

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2006-31 (Technical Cyber Security Alert TA06-270A)
Microsoft Internet Explorer WebViewFolderIcon ActiveX Vulnerability
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA06-270A.html
เรียบเรียงโดย: ไตรรัตน์ พุทธรักษา

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Microsoft Windows
โปรแกรมบราวเซอร์ Microsoft Internet Explorer

กล่าวโดยทั่วไป

WebViewFolderIcon ActiveX Control ของระบบปฏิบัติการ Microsoft Windows มีช่องโหว่ประเภท integer overflow ซึ่งเปิดโอกาสให้ผู้บุกรุกสามารถทำการรันคำสั่งใดก็ได้บนระบบที่ถูกบุกรุก

I. คำอธิบาย

WebViewFolderIcon ActiveX control ของระบบปฏิบัติการ Microsoft Windows มีช่องโหว่ประเภท integer overflow โดยผู้บุกรุกสามารถใช้โจมตีช่องโหว่นี้ผ่านทางโปรแกรมบราวเซอร์ Internet Explorer หรือโปรแกรมอื่นๆ ที่มีการใช้งาน WebViewFolderIcon สำหรับข้อมูลเพิ่มเติมสามารถศึกษาได้จากบันทึกช่องโหว่ VU#753044

หมายเหตุ: โปรแกรมที่ใช้สำหรับโจมตีช่องโหว่นี้ได้ถูกเผยแพร่ออกมาเมื่อวันที่ 26 กันยายน 2549

II. ผลกระทบ

ผู้บุกรุกจะพยายามทำให้ผู้ใช้งานทำการเปิดเอกสาร HTML ที่ถูกสร้างขึ้นไว้ใช้สำหรับการโจมตี ซึ่งเอกสาร HTML เหล่านี้จะมาในรูปของเว็บเพจหรือแนบมากับอีเมล์ ซึ่งถ้าผู้ใช้งานทำการเปิดดูเว็บหรืออีเมล์ดังกล่าวจะทำให้ผู้บุกรุกสามารถรันคำสั่งได้ด้วยสิทธิของผู้ใช้ที่ทำการเปิดเอกสารดังกล่าว

III วิธีการแก้ไข

ในขณะนี้ยังไม่มีโปรแกรมซ่อมแซมช่องโหว่จากทาง Microsoft อย่างไรก็ตามแนวทางการแก้ไขชั่วคราวสำหรับช่องโหว่มีดังนี้

ปิดการใช้งาน WebViewFolderIcon ActiveX Control

เพื่อป้องกันการถูกโจมตีจากช่องโหว่นี้ ผู้ใช้งานสามารถปิดการใช้งาน WebViewFolderIcon ActiveX Control โดยทำการแก้ไขค่า CLSID ในรีจิสทรีดังต่อไปนี้

{844F4806-E8A8-11d2-9652-00C04FC30871}

สำหรับข้อมูลเพิ่มเติมในการแก้ไขค่า CLSID สามารถศึกษาเพิ่มเติมได้จากเอกสารของทางไมโครซอฟท์หมายเลข 240797

ปิดการใช้งาน ActiveX

เพื่อเป็นการป้องกันช่องโหว่อื่นๆของ ActiveX และ COM ผู้ใช้งานสามารถปิดการใช้งาน ActiveX สำหรับโซนอินเทอร์เน็ตหรือโซนอื่นๆ ที่อาจจะถูกโจมตีของโปรแกรม Internet Explorer สำหรับขั้นตอนในการปิดการใช้งาน ActiveX สำหรับโซนอินเทอร์เน็ตสามารถศึกษาได้จากเอกสาร Securing Your Web Browser และ Malicious Web Script FAQ

ตั้งค่าอ่านอีเมล์แบบ plain text

เพื่อเป็นการป้องกันการถูกโจมตีจากช่องโหว่ที่อาศัยการให้ผู้ใช้อ่านเอกสาร HTML ที่ผู้บุกรุกสร้างขึ้นสำหรับการโจมตี ให้ทำการปรับแต่งโปรแกรมอ่านอีเมล์ให้แสดงผลแบบ plain text เท่านั้น

อย่าคลิกลิงก์ที่ไม่น่าไว้วางใจ

เพื่อเป็นการป้องกันการถูกโจมตีจากช่องโหว่นี้ที่อาศัยการให้ผู้ใช้งานเข้าไปเยี่ยมชมเว็บที่ผู้บุกรุกสร้างขึ้นสำหรับการโจมตี ไม่ควรคลิกลิงก์ที่แปลกหรือไม่น่าไว้วางใจ

ในการที่จะทำให้ผู้ใช้ทำการเยี่ยมชมเว็บที่ผู้บุกรุกสร้างขึ้นมาไว้สำหรับใช้โจมตีนั้น ผู้บุกรุกจะทำการปลอมแปลง URL, ใช้หมายเลข IP หลายหมายเลข, การสร้าง URL ที่มีความยาวมาก, การใช้ชื่อโดเมนที่มีชื่อใกล้เคียงกับเว็บไซต์ทั่วไป รวมทั้งวิธีการอื่นในการสร้างลิงก์ที่ทำให้ผู้ใช้งานเข้าใจผิด ผู้ใช้งานไม่ควรคลิกลิงก์ที่ไม่น่าไว้วางใจจากที่ต่างๆ ไม่ว่าจะเป็นอีเมล์, โปรแกรม instant message (IM), เว็บต่างๆ รวมทั้งจาก internet relay chat (IRC) และควรใช้การพิมพ์ชื่อ URL แทนการคลิกลิงก์ เพื่อเป็นการป้องกันในกรณีที่ผู้บุกรุกสามารถสร้างลิงก์ได้มีความคล้ายคลึงกับลิงก์ปกติ

Appendix A. References

Vulnerability Note VU#753044 - <http://www.kb.cert.org/vuls/id/753044>
Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/>
Malicious Web Scripts FAQ - <http://www.cert.org/tech_tips/malicious_code_FAQ.html>
CVE-2006-3730 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3730>
Microsoft Support Document 240797 - <http://support.microsoft.com/kb/240797>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์