Microsoft Security Bulletin MS04-025
30 July 2004 Cumulative Security Update for Internet Explorer
เรียบเรียงโดย : พ.ท. ดร. ปนิวัธน์ ทรัพย์รุ่งเรือง

กล่าวนำ

การอัพเดทนี้ใช้ในการอุดช่องโหว่ต่างๆ ที่ได้รับการค้นพบใหม่และเป็นที่ทราบกันในสาธารณชนแล้ว โดยช่องโหว่แต่ละช่องโหว่นั้นจะได้รับการกล่าวถึงโดยละเอียดในหัวข้อเฉพาะของช่องโหว่นั้นในเอกสาร ตามลิงก์นี้

หากผู้ใช้ล็อกออนโดยใช้สิทธิ์ของผู้ดูแลระบบ แล้วผู้โจมตีสามารถเจาะช่องโหว่ที่ร้ายแรงที่สุดนี้ได้สำเร็จ ก็จะทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องนั้นได้อย่างเบ็ดเสร็จซึ่งผู้โจมตีจะสามารถ ติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างแอ็คเค้าท์ใหม่ที่มีสิทธิสูงสุดได้ ส่วนผู้ใช้ที่ใช้เครื่องภายใต้สิทธิ์ที่น้อยกว่าสิทธิ์ของผู้ดูแลระบบก็จะมีความเสี่ยงที่น้อยกว่าผู้ใช้ที่ใช้เครื่องภายใต้สิทธิ์ของผู้ดูแลระบบ

ผลกระทบของช่องโหว่นี้

ผู้บุกรุกสามารถสั่งรันโปรแกรมบนเครื่องคอมพิวเตอร์ที่ไม่ได้รับการอุดช่องโหว่นี้

ระดับความรุนแรง

สูงสุด (Critical)

ซอฟต์แวร์ที่ได้รับผลกระทบ

• Microsoft Windows NT® Workstation 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
• Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP and Microsoft Windows XP Service Pack 1
• Microsoft Windows XP 64-Bit Edition Service Pack 1
• Microsoft Windows XP 64-Bit Edition Version 2003
• Microsoft Windows Server® 2003
• Microsoft Windows Server 2003 64-Bit Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (Me) – Review the FAQ section of this bulletin for details about these operating systems. ตามลิงก์นี้

คอมโพเน้นท์ที่ได้รับผลกระทบ

• Internet Explorer 5.01 Service Pack 2: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 5.01 Service Pack 3: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 5.01 Service Pack 4: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 5.5 Service Pack 2: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 6: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 6 Service Pack 1: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 6 Service Pack 1 (64-Bit Edition): ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 6 for Windows Server 2003: ดาวน์โหลดจากลิงก์นี้
• Internet Explorer 6 for Windows Server 2003 (64-Bit Edition): ดาวน์โหลดจากลิงก์นี้

ซอฟต์แวร์เวอร์ชันต่างๆ ที่ระบุไว้ด้านบนนั้นได้รับการทดสอบแล้วว่าจะได้รับผลกระทบจากช่องโหว่ ส่วนเวอร์ชันอื่นๆ ที่ไม่ได้ระบุนั้นแสดงว่าไม่ได้รับผลกระทบหรือไม่ได้รับการสนับสนุนอีกต่อไปแล้ว ท่านสามารถดูในเว็บของ Microsoft Support Lifecycle เพื่อตรวจสอบว่าเวอร์ชันของท่านยังได้รับการสนับสนุนหรือไม่

วิธีแก้ไขปัญหา

ไมโครซอฟท์ได้ทดลองใช้วิธีแก้ปัญหาเฉพาะหน้าเหล่านี้แล้ว ซึ่งถึงแม้วิธีเหล่านี้จะไม่สามารถซ่อมแซมช่องโหว่ได้แต่ก็สามารถปิดช่องทางที่สามารถใช้ในการโจมตีได้ และหากวิธีแก้ไขปัญหาวิธีใดทำให้ประสิทธิภาพการทำงานลดลงไปก็จะได้รับการระบุไว้ด้านล่างด้วย

ท่านสามารถดูรายละเอียดในส่วนของวิธีแก้ไขปัญหาเฉพาะหน้าได้จาก ลิงก์นี้

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์