|
CERT Advisory CA-2007-38 (Technical Cyber
Security Alert TA07-334A)
Apple QuickTime RTSP Buffer Overflow
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA07-334A.html
เรียบเรียงโดย : ณัฐพงษ์
แสงเลิศศิลปชัย
ระบบที่ได้รับผลกระทบ
ช่องโหว่หน่วยความจำล้นในโปรแกรม Apple QuickTime
ส่งผลกระทบกับ
- Apple QuickTime สำหรับ Windows
- Apple QuickTime สำหรับ Apple Mac OS X
กล่าวโดยทั่วไป
โปรแกรม Apple QuickTime มีช่องโหว่หน่วยความจำล้นในการดำเนินการสายข้อมูล
RTSP (Real Time Streaming Protocol) ซึ่งอาจส่งผลให้ผู้บุกรุกสามารถสั่งรันคำสั่งบนระบบจากระยะไกลได้
I. คำอธิบาย
โปรแกรม Apple QuickTime มีช่องโหว่หน่วยความจำล้นประเภทสแต็กในการจัดการส่วน
header ของประเภทข้อมูล
RTSP โดยช่องโหว่นี้พบได้ในโปรแกรม QuickTime เวอร์ชัน 7.3 และเวอร์ชันก่อนหน้าทั้งที่ทำงานบนระบบปฏิบัติการ
Apple Mac OS X และ Microsoft Windows เนื่องจาก QuickTime เป็นส่วนประกอบของ
Apple iTunes ดังนั้นการติดตั้ง iTunes ก็ได้รับผลกระทบจากช่องโหว่นี้ด้วย
ผู้บุกรุกสามารถบุกรุกผ่านช่องโหว่นี้ด้วยการหลอกลวงให้ผู้ใช้เข้าถึงเอกสาร
HTML เช่น หน้าเว็บ หรือข้อความอีเมล เป็นต้น ซึ่งสร้างมาสำหรับใช้ในการบุกรุกโดยอาศัยเทคนิคต่างๆ
ใน QuickTime ทำการดาวน์โหลดสายข้อมูล RTSP โปรแกรมเว็บบราวเซอร์ทั่วไปทั้ง
Microsoft Internet Explorer, Mozilla Firefox และ Apple Safari สามารถถูกใช้ส่งต่อสายข้อมูล
RTSP ให้กับ QuickTime เพื่อทำการบุกรุกช่องโหว่ตลอดจนสามารถสั่งรันคำสั่งบนระบบได้
ชุดคำสั่งสำหรับใช้ในการบุกรุกช่องโหว่นี้ถูกเผยแพร่ครั้งแรกเมื่อวันที่
25 พฤศจิกายน 2550
II. ผลกระทบ
ช่องโหว่นี้อนุญาตให้ผู้บุกรุกสามารถสั่งรันคำสั่งหรือชุดคำสั่งจากระยะไกล
โดยที่ไม่ต้องพิสูจน์ตัวตน และทำให้ระบบไม่สามารถให้บริการได้
III วิธีแก้ไข
จากข้อมูลวันที่ 30 พฤศจิกายน 2550 ยังไม่มีโปรแกรมซ่อมแซมช่องโหว่สำหรับ
QuickTime สำหรับการขจัดสาเหตุการบุกรุกให้พิจารณาตามคำแนะนำต่อไปนี้
ปิดกั้นโปรโตคอล rtsp://
การใช้ proxy หรือไฟร์วอลล์ (firewall) ที่สามารถจำรูปแบบและปิดกั้นการรับส่งข้อมูล
RTSP จะช่วยป้องกันการบุกรุกผ่านช่องโหว่นี้ สำหรับชุดคำสั่งในการบุกรุกช่องโหว่ที่ถูกเปิดเผยใช้พอร์ตมาตรฐานของ
RTSP คือ พอร์ต 554/tcp
อย่างไรก็ตาม RTSP สามารถเปลี่ยนไปใช้พอร์ตอื่นในการทำงานได้
ยกเลิกการเชื่อมโยงไฟล์ QuickTime
การยกเลิกการเชื่อมโยงไฟล์ QuickTime กับโปรแกรมที่ใช้เปิด
(Apple QuickTime) สามารถทำได้โดยลบรีจิสทรีคีย์ดังนี้
HKEY_CLASSES_ROOT\QuickTime.*
การลบรีจิสทรีคีย์นี้จะลบการเชื่อมโยงไฟล์ประมาณ 32
ประเภทไฟล์ที่ถูกตั้งค่าให้ทำการเปิดด้วย QuickTime Player
ยกเลิกการใช้งานส่วนควบคุม QuickTime ActiveX ใน
Internet Explorer
ส่วนควบคุม QuickTime ActiveX ใน Internet Explorer
สามารถถูกยกเลิกได้โดยการตั้ง kill bit สำหรับ CLSID (Class identifier)
ต่อไปนี้
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
ข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า kill bit สามารถอ่านได้ที่
Microsoft Knowledgebase Article 240797
วิธีการอื่นในการยกเลิกส่วนควบคุม QuickTime ActiveX สามารถทำได้โดยบันทึกข้อความด้านล่างนี้เป็นไฟล์
.REG แล้วทำการ import เข้าสู่ registry
Windows
Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{4063BE15-3B08-470D-A0D5-B37161CFFD69}]
"Compatibility Flags"=dword:00000400
ยกเลิกปลั๊กอิน QuickTime ในเว็บบราวเซอร์ตระกูล
Mozilla
ผู้ใช้โปรแกรมเว็บบราวเซอร์ตระกูล Mozilla เช่น Firefox
เป็นต้น สามารถยกเลิกการใช้งานปลั๊กอิน QuickTime ได้ตามเอกสาร PluginDoc
Uninstalling
Plugins
ยกเลิกการใช้งานจาวาสคริปต์
ขั้นตอนการยกเลิกการใช้งานจาวาสคริปต์สามารถอ้างอิงได้จากเอกสาร
Securing
Your Web Browser การยกเลิกจาวาสคริปต์นี้สามารถช่วยป้องกันระบบจากเทคนิคการบุกรุกบางประเภทซึ่งบุกรุกผ่านทางปลั๊กอิน
QuickTime หรือส่วนควบคุม ActiveX ได้
ทำให้เว็บบราวเซอร์มีความปลอดภัย
ในการลดโอกาสการถูกบุกรุกผ่านทางโปรแกรมเว็บบราวเซอร์
ควรปฏิบัติตามเอกสาร Securing
Your Web Browser
ไม่เปิดไฟล์ QuickTime จากแหล่งที่ไม่น่าเชื่อถือ
ไม่เปิดไฟล์ QuickTime จากแหล่งที่ไม่น่าเชื่อถือต่างๆ
รวมทั้งไฟล์ที่ไม่ได้ต้องการหรือลิงก์ที่ได้รับจากอีเมล, instant messages,
web forums หรือทาง IRC
IV. เอกสารอ้างอิง
|
