CERT Advisory CA-2006-33 (Technical Cyber Security Alert TA06-283A)
Microsoft Updates for Vulnerabilities in Windows, Office, and Internet Explorer
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA06-283A.html
เรียบเรียงโดย: พุธ นาฑีสุวรรณ

ระบบที่ได้รับผลกระทบ

• Microsoft Windows
• Microsoft Office
• Microsoft Internet Explorer

กล่าวโดยทั่วไป

ไมโครซอฟท์ได้แจ้งเตือนช่องโหว่ที่มีระดับความสำคัญสูงจำนวนหนึ่งภายในระบบปฏิบัติการ Microsoft Windows Internet Explorer และ Microsoft Office การใช้ประโยชน์จากช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกที่ไม่จำเป็นต้องพิสูจน์ตัวตนก่อนเข้าใช้งาน สามารถสั่งรันโปรแกรมได้จากระยะไกล หรือทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

แถลงการณ์จากไมโครซอฟท์ประจำเดือนตุลาคม 2549 ได้กล่าวถึงช่องโหว่ภายในระบบปฏิบัติการ Microsoft Windows Internet Explorer และ Microsoft Office
ข้อมูลโดยสรุปใน Microsoft Security Bulletins มีทั้งสิ้น 10 รายการ ซึ่งแต่ละรายการมีการอธิบายถึงรายละเอียดของช่องโหว่ต่างๆ ซึ่งผู้บุกรุกสามารถใช้สำหรับการโจมตีได้ ดังนี้

• Microsoft Security Bulletin MS06-057 เกี่ยวข้องกับช่องโหว่ที่อาจทำให้ผู้บุกรุกสามารถบุกรุกระบบจากระยะไกลผ่านทาง WebFolderIcon ActiveX control ข้อมูลเพิ่มเติมสามารถดูได้จาก VU#753044
• Microsoft Security Bulletin MS06-058 เกี่ยวข้องกับช่องโหว่ที่อาจทำให้ผู้บุกรุกสามารถบุกรุกระบบจากระยะไกลผ่านทาง Microsoft PowerPoint ข้อมูลเพิ่มเติมสามารถดูได้จาก VU#231204
• Microsoft Security Bulletin MS06-060 เกี่ยวข้องกับช่องโหว่ที่อาจทำให้ผู้บุกรุกสามารถบุกรุกระบบจากระยะไกลผ่านทาง Microsoft Word ข้อมูลเพิ่มเติมสามารถดูได้จาก VU#806548

สามารถอ่านรายละเอียดเพิ่มเติมของช่องโหว่ทั้งหมดได้จากเอกสาร Security Bulletins ประจำเดือนตุลาคม 2549 ซึ่งจะเผยแพร่อยู่ใน Vulnerability Notes

ไมโครซอฟท์ประกาศจะไม่ให้การสนับสนุนสำหรับ Windows XP Service Pack 1 อีกต่อไป เนื้อหามีดังนี้

"ตั้งแต่วันที่ 10 ตุลาคม 2549 ทางไมโครซอฟท์จะหยุดการสนับสนุนแก่ผู้ที่ใช้ Windows XP Service Pack 1 (SP1)
ภายหลังจากวันที่ประกาศดังกล่าว ไมโครซอฟท์จะเลิกให้ความช่วยเหลือที่เกี่ยวข้องกับเหตุการณ์ด้านการละเมิดความปลอดภัยหรือ
การให้บริการโปรแกรมปรับปรุงที่เกี่ยวข้องในการปรับปรุงด้านความปลอดภัยสำหรับ Service Pack ที่หยุดให้การช่วยเหลือไปแล้วนี้
ตามนโยบายของ Microsoft Support Lifecycle"

ผู้ใช้จึงควรปรับปรุงไปสู่ Windows XP Service Pack 2 (SP2) โดยด่วน

II. ผลกระทบ

การใช้ประโยชน์จากช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกระบบจากระยะไกล ซึ่งไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมบนเครื่องที่มีช่องโหว่เหล่านี้ นอกจากนี้แล้วผู้บุกรุกยังอาจทำให้ระบบไม่สามารถให้บริการได้

III วิธีแก้ไข

ติดตั้งโปรแกรมปรับปรุงจากไมโครซอฟท์

ไมโครซอฟท์ให้บริการโปรแกรมสำหรับปรับปรุงเพื่อป้องกันช่องโหว่ที่ Security Bulletins ประจำเดือนตุลาคม 2549 เอกสาร Security Bulletins จะอธิบายถึงรายละเอียดต่างๆ ที่เกี่ยวข้องกับการปรับปรุงแก้ไข

หมายเหตุ: ช่องโหว่ต่างๆ ได้ถูกอธิบายไว้ใน Security Bulletins และได้รับการทดสอบผลกระทบที่อาจเกิดขึ้นกับระบบของผู้ใช้แล้ว

ติดตั้งโปรแกรมปรับปรุงของ Microsoft Windows และ Microsoft Office XP รวมทั้งโปรแกรมอื่นๆ ด้วยเวอร์ชันล่าสุดตามที่มีการประกาศบนเว็บไซด์ Microsoft Update สำหรับโปรแกรมปรับปรุงของ Microsoft Office 2000 มีให้บริการอยู่บนเว็บไซด์ Microsoft Office Update

ผู้ดูแลระบบอาจพิจารณาใช้โปรแกรม Windows Server Update Services (WSUS) เพื่อช่วยให้การติดตั้งโปรแกรมปรับปรุงมีความสะดวกยิ่งขึ้น

Appendix A. References

• US-CERT Vulnerability Notes for Microsoft October 2006 updates - <http://www.kb.cert.org/vuls/byid?searchview&query=ms06-oct>
• Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/>
• Microsoft Security Bulletin Summary for October 2006 - <http://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx>
• Microsoft Update - <https://update.microsoft.com/microsoftupdate/>
  
• Microsoft Office Update - <http://officeupdate.microsoft.com/>
  
• End of support for Windows 98, Windows Me, and Windows XP Service Pack 1 - <http://www.microsoft.com/windows/support/endofsupport.mspx#EHB>
  
• Windows Server Update Services - <http://www.microsoft.com/windowsserversystem/updateservices/default.mspx>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์