Microsoft Security Bulletin MS04-028
14 September 2547 Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution
เรียบเรียงโดย : ดร. บรรจง หะรังษี

กล่าวนำ

ไมโครซอฟต์ได้ประกาศแจ้งเตือนช่องโหว่ที่เกิดขึ้นในซอฟต์แวร์ที่เกี่ยวข้องกับการประมวลผลรูปภาพในรูปแบบ JPEG ปัญหาที่เกิดขึ้นคือซอฟต์แวร์ดังกล่าวไม่ได้ทำการตรวจสอบข้อมูลในหน่วยความจำก่อนที่จะนำไปใช้งาน (Buffer Overrun) เมื่อผู้บุกรุกเขียนทับด้วยโค้ดที่จัดเตรียมไว้ลงไปที่หน่วยความจำที่ไม่ได้มีการตรวจสอบ ก็จะทำให้สามารถสั่งรันโค้ดที่จัดเตรียมไว้นั้นในเครื่องที่ยังไม่ได้อุดช่องโหว่นี้

ถ้าผู้ใช้งานเครื่องคอมพิวเตอร์ที่มีช่องโหว่ดังกล่าวล็อกอินภายใต้สิทธิของผู้ดูแลระบบ การจู่โจมโดยใช้ช่องโหว่นี้อาจทำให้ผู้บุกรุกสามารถควบคุมเครื่องคอมพิวเตอร์ไว้ได้ทั้งหมด ได้แก่ การติดตั้งโปรแกรมใหม่เข้าไป การดู การเปลี่ยนแปลง หรือการลบข้อมูลต่างๆ ที่อยู่ในเครื่องคอมพิวเตอร์ รวมทั้งการสร้างบัญชีผู้ใช้ขึ้นมาใหม่ ผู้ใช้งานที่ล็อกอินภายใต้สิทธิที่ต่ำกว่าผู้ดูแลระบบจะมีความเสี่ยงน้อยกว่าที่จะถูกจู่โจมโดยใช้ช่องโหว่นี้

ผลกระทบของช่องโหว่นี้

ผู้บุกรุกสามารถสั่งรันโปรแกรมบนเครื่องคอมพิวเตอร์ที่ไม่ได้รับการอุดช่องโหว่นี้

ระดับความรุนแรง

สูงสุด (Critical)

ซอฟต์แวร์ที่ได้รับผลกระทบและต้องติดตั้งโปรแกรมอุดช่องโหว่

• Microsoft Windows XP and Microsoft Windows XP Service Pack 1 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Windows XP 64-Bit Edition Service Pack 1 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Windows XP 64-Bit Edition Version 2003 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Windows Server^TM 2003 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Windows Server 2003 64-Bit Edition - ดาวน์โหลดจากลิงก์นี้
• Microsoft Office XP Service Pack 3 - ดาวน์โหลดจากลิงก์นี้
  Microsoft Office XP Service Pack 3 Software:
  • Outlook® 2002
  • Word 2002
  • Excel 2002
  • PowerPoint® 2002
  • FrontPage® 2002
  • Publisher 2002
• Microsoft Office 2003 - ดาวน์โหลดจากลิงก์นี้
  Microsoft Office 2003 Software:
  • Outlook® 2003
  • Word 2003
  • Excel 2003
  • PowerPoint® 2003
  • FrontPage® 2003
  • Publisher 2003
    
  • InfoPath^TM 2003
  • OneNote^TM 2003
• Microsoft Project 2002 Service Pack 1 (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Project 2003 (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Visio 2002 Service Pack 2 (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Visio 2003 (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Visual Studio .NET 2002 - ดาวน์โหลดจากลิงก์นี้
  Microsoft Visual Studio .NET 2002 Software:
  • Visual Basic .NET Standard 2002
  • Visual C# .NET Standard 2002
  • Visual C++ .NET Standard 2002
    
• Microsoft Visual Studio .NET 2003 - ดาวน์โหลดจากลิงก์นี้
  Microsoft Visual Studio .NET 2003 Software:
  • Visual Basic .NET Standard 2003
  • Visual C# .NET Standard 2003
  • Visual C++ .NET Standard 2003
  • Visual J# .NET Standard 2003
    
• The Microsoft .NET Framework version 1.0 SDK Service Pack 2 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Picture It!® 2002 (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Greetings 2002 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Picture It! version 7.0 (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Digital Image Pro version 7.0 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Picture It! version 9 (all versions, including Picture It! Library) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Digital Image Pro version 9 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Digital Image Suite version 9 - ดาวน์โหลดจากลิงก์นี้
• Microsoft Producer for Microsoft Office PowerPoint (all versions) - ดาวน์โหลดจากลิงก์นี้
• Microsoft Platform SDK Redistributable: GDI+ - ดาวน์โหลดจากลิงก์นี้
  

คอมโพเน้นท์ที่ได้รับผลกระทบและต้องติดตั้งโปรแกรมอุดช่องโหว่

• Internet Explorer 6 Service Pack 1 - ดาวน์โหลดจากลิงก์นี้
• The Microsoft .NET Framework version 1.0 Service Pack 2 - ดาวน์โหลดจากลิงก์นี้
• The Microsoft .NET Framework version 1.1 - ดาวน์โหลดจากลิงก์นี้
  

ซอฟต์แวร์ที่ไม่ได้รับผลกระทบ

• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
• Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (Me)
• Microsoft Office 2003 Service Pack 1
• Microsoft Office 2000
• Microsoft Visio 2003 Service Pack 1
• Microsoft Visio 2000
• Microsoft Project 2003 Service Pack 1
• Microsoft Project 2000
• Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10
  

คอมโพเน้นท์ที่ไม่ได้รับผลกระทบ

• Internet Explorer 5.01 Service Pack 3 on Windows 2000 Service Pack 3
• Internet Explorer 5.01 Service Pack 4 on Windows 2000 Service Pack 4
• Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Millennium Edition
• The Microsoft .NET Framework version 1.0 Service Pack 3
• The Microsoft .NET Framework version 1.1 Service Pack 1
• The Microsoft .NET Framework version 1.1 Service Pack 1 for Windows Server 2003
  

วิธีแก้ไขปัญหา

ให้ติดตั้งโปรแกรมอุดช่องโหว่ตามข้อมูลข้างต้น

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์