ThaiCERT : Advisories & Alerts : CERT : CA-2007-13

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2007-13 (Technical Cyber Security Alert TA07-089A)
Microsoft Windows ANI header stack buffer overflow
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA07-089A.html
เรียบเรียงโดย : ณัฐพงษ์ แสงเลิศศิลปชัย

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการไมโครซอฟท์วินโดวส์ 2000, XP, 2003 เซิร์ฟเวอร์ และ Vista ได้รับผลกระทบจากช่องโหว่นี้ โดยแอพพลิเคชันที่มีช่องโหว่ทำให้เกิดการบุกรุก ได้แก่

Microsoft Internet Explorer
Microsoft Outlook
Microsoft Outlook Express
Microsoft Windows Mail
Microsoft Windows Explorer

กล่าวโดยทั่วไป

ช่องโหว่ประเภทหน่วยความจำล้นของระบบปฏิบัติการไมโครซอฟท์วินโดวส์เกี่ยวกับการจัดการไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหว (animated cursor file) ซึ่งยังไม่มีการปรับปรุงช่องโหว่ สามารถถูกบุกรุกได้

I. คำอธิบาย

มีช่องโหว่หน่วยความจำสแต็กล้นปรากฏในโค้ดสำหรับประมวลผลไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ โดยเฉพาะอย่างยิ่งระบบปฏิบัติการไมโครซอฟท์วินโดวส์ไม่สามารถตรวจขนาดเฮดเดอร์ (header) ของไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวได้อย่างถูกต้อง

ไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวสามารถถูกใส่รวมในไฟล์ HTML ยกตัวอย่างเช่น เว็บไซต์สามารถใช้ไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวเพื่อเปลี่ยนรูปไอคอนเมื่อลากเมาส์ผ่านบนส่วนที่เป็นลิงก์ เป็นต้น ดังนั้นหน้าเว็บหรือข้อความอีเมลที่เป็นอันตรายจึงสามารถใช้บุกรุกช่องโหว่นี้ได้ นอกจากนี้ไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวจะถูกประมวลผลด้วย Windows Explorer โดยอัตโนมัติเมื่อโฟลเดอร์ที่เก็บไฟล์นั้นถูกเปิดหรือไฟล์เคอร์เซอร์ถูกเลือกใช้งาน ด้วยเหตุนี้การเปิดโฟลเดอร์ที่บรรจุไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวที่ถูกสร้างขึ้นเพื่อบุกรุกจึงเป็นการทำให้เกิดการบุกรุกด้วยช่องโหว่นี้ด้วย

หมายเหตุ โปรแกรม Windows Explorer จะประมวลผลไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวซึ่งมีอยู่หลากหลายนามสกุล เช่น .ani, .cur หรือ .ico เป็นต้น นอกจากนั้นระบบปฏิบัติการวินโดวส์ยังประมวลผลไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวที่ใช้ในเอกสาร HTML แบบอัตโนมัติโดยไม่คำนึงถึงนามสกุลของไฟล์เคอร์เซอร์นั้น

ปัจจุบันช่องโหว่สามารถใช้ในการบุกรุกระบบได้ รายละเอียดเพิ่มเติมอ่านได้ที่บันทึกช่องโหว่หมายเลข VU#191609

II. ผลกระทบ

ผู้บุกรุกจากภายนอกซึ่งไม่ต้องพิสูจน์ตัวตนสามารถสั่งให้โค้ดต่างๆ บนระบบทำงานได้ การบุกรุกจะเกิดขึ้นเมื่อผู้ใช้คลิ้กลิงก์ที่เป็นอันตราย, อ่านหรือส่งต่ออีเมลแบบ HTML ที่ถูกสร้างเพื่อบุกรุก หรือเข้าถึงโฟลเดอร์ที่บรรจุไฟล์เคอร์เซอร์แบบภาพเคลื่อนไหวที่เป็นอันตรายไว้

III วิธีแก้ไข

จนกว่าจะมีการออกโปรแกรมแก้ไข ให้ปฏิบัติตามส่วนการแก้ไข (Solution) ในบันทึกช่องโหว่หมายเลข VU#191609

Appendix A. References

Vulnerability Note VU#191609 - <http://www.kb.cert.org/vuls/id/191609>
Microsoft Security Advisory (935423) - <http://www.microsoft.com/technet/security/advisory/935423.mspx>
Unpatched Drive-By Exploit Found On The Web - <http://www.avertlabs.com/research/blog/?p=230>
TROJ_ANICHMOO.AX - Description and Solution - <http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FANICMOO%2EAX>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์