ThaiCERT : Advisories & Alerts : CERT : CA-2007-07

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2007-07 (Technical Cyber Security Alert TA07-044A)
Microsoft Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-044A.html
เรียบเรียงโดย: ภัทราวดี เหมทานนท์

ระบบที่ได้รับผลกระทบ

Microsoft Windows
Microsoft Internet Explorer
Microsoft Office
Microsoft Works
Microsoft Malware Protection Engine
Microsoft Visual Studio
Microsoft Step-by-Step Interactive Training

กล่าวโดยทั่วไป

ไมโครซอฟท์ได้ประกาศแจ้งเตือนช่องโหว่ที่มีระดับความสำคัญสูงจำนวนหนึ่ง สำหรับระบบปฏิบัติการ Microsoft Windows, เว็บบราวเซอร์ Internet Explorer, โปรแกรมออฟฟิศ, Works, Malware Protection Engine, Visual Studio และ Step-by-Step Interactive Training การโจมตีโดยอาศัยช่องโหว่เหล่านี้อาจทำให้ผู้บุกรุกไม่จำเป็นต้องทำการพิสูจน์ตัวตนก่อนเข้าใช้งานสามารถสั่งรันโปรแกรมได้จากระยะไกลหรือทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

ไมโครซอฟท์ได้ประกาศแจ้งเตือนช่องโหว่ที่มีผลกระทบกับระบบปฏิบัติการ Microsoft Windows, เว็บบราวเซอร์ Internet Explorer, โปรแกรมออฟฟิศ, Works, Malware Protection Engine, Visual Studio, และ Step-by-Step Interactive Training ใน Microsoft Security Bulletin ประจำเดือนกุมภาพันธ์ 2550 โดยช่องโหว่ที่รุนแรงที่สุดนั้นจะเปิดโอกาสให้ผู้บุกรุกสามารถรันคำสั่งของระบบหรือทำให้ระบบไม่สามารถใช้งานได้โดยที่ไม่จำเป็นต้องพิสูจน์ตัวตน

โปรแกรมอุดช่องโหว่บางตัวสำหรับไมโครซอฟท์ออฟฟิศใช้สำหรับแก้ไขช่องโหว่ที่กำลังถูกโจมตีอยู่ได้ สามารถอ่านเพิ่มเติมได้จาก Vulnerability Notes

สามารถอ่านรายละเอียดเพิ่มเติมของช่องโหว่เหล่านี้ได้จากเอกสาร Vulnerability Notes

II. ผลกระทบ

ผู้บุกรุกจากระยะไกลที่ไม่ได้ทำการพิสูจน์ตัวตนสามารถสั่งรันโปรแกรมบนระบบที่มีช่องโหว่หรือทำให้ระบบไม่สามารถทำงานได้

III วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่จากไมโครซอฟท์

ไมโครซอฟท์ได้ให้บริการโปรแกรมซ่อมแซมช่องโหว่ที่ Security Bulletins ประจำเดือนกุมภาพันธ์ 2550 ซึ่งเอกสาร Security Bulletins นี้จะอธิบายถึงรายละเอียดต่างๆ ที่เกี่ยวข้องกับการติดตั้งโปรแกรมซ่อมแซมช่องโหว่รวมทั้งข้อมูลผลกระทบของโปรแกรมซ่อมแซมช่องโหว่ที่ติดตั้งลงไป

ผู้ดูแลระบบอาจใช้ระบบการติดตั้งโปรแกรมซ่อมแซมช่องโหว่แบบอัตโนมัติ เช่น Windows Server Update Services (WSUS) ในการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ได้

Appendix A. References

US-CERT Vulnerability Notes for Microsoft February 2007 updates - <http://www.kb.cert.org/vuls/byid?searchview&query=ms07-feb>
Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/>
Microsoft Security Bulletin Summary for February 2007 - <http://www.microsoft.com/technet/security/bulletin/ms07-feb.mspx>
Microsoft Update - <https://update.microsoft.com/microsoftupdate/>
Microsoft Office Update - <http://officeupdate.microsoft.com/>
Windows Server Update Services - <http://www.microsoft.com/windowsserversystem/updateservices/default.mspx>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์