Microsoft Security Bulletin MS06-003
Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)
วันที่ประกาศ : 12 มกราคม 2549
เวอร์ชัน : 1.0
เรียบเรียงโดย : ไตรรัตน์ พุทธรักษา

คำอธิบายโดยย่อ

ไมโครซอฟต์ได้ประกาศแจ้งเตือนช่องโหว่ที่เกิดขึ้นในระบบปฏิบัติการไมโครซอฟต์วินโดว์ส ช่องโหว่เหล่านี้อาจเป็นผลให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล ซึ่งข้อมูลโดยย่อของช่องโหว่มีดังนี้

TNEF Decoding Vulnerability - CVE-2006-0002

ช่องโหว่นี้เกิดขึ้นในส่วนของการถอดรหัสไฟล์แนบประเภท MIME ซึ่งทำการเข้ารหัสด้วยวิธีการ TNEF ของโปรแกรม Microsoft Outlook และ Microsoft Exchange เป็นผลให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล โดยผู้บุกรุกสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งข้อความ TNEF ที่สร้างขึ้นมาพิเศษสำหรับการบุกรุกไปยังผู้ใช้งาน หากผู้ใช้งานทำการเปิดอ่านข้อความที่ผู้บุกรุกส่งมาหรือหาก Microsoft Exchange Server Information Store ทำการจัดการกับข้อความนี้ก็อาจะส่งผลให้ผู้บุกรุกสามารถเข้าควบคุมระบบได้

ผู้บุกรุกที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จอาจทำให้สามารถควบคุมระบบไว้ได้ทั้งหมด ซึ่งรวมถึงการติดตั้งโปรแกรมเพิ่มเติมเข้าไป การเรียกดู เปลี่ยนแปลง หรือแม้แต่ลบข้อมูลที่อยู่ในเครื่องนั้นทิ้งไป รวมทั้งการเพิ่มผู้ใช้รายใหม่ที่มีสิทธิระดับสูงเข้าไปในบัญชีผู้ใช้

ผลกระทบของช่องโหว่นี้

ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล

ระดับความรุนแรง

สูงสุด (Critical)

ซอฟต์แวร์ที่ได้รับผลกระทบ

• Microsoft Office 2000 Service Pack 3
  Microsoft Office 2000 Software:
  • Microsoft Outlook 2000 – ดาวน์โหลด (KB892842) ได้จากลิงก์นี้
  • Microsoft Office 2000 MultiLanguage Packs – ดาวน์โหลด (KB892842) ได้จากลิงก์นี้
  • Microsoft Outlook 2000 English MultiLanguage Packs – ดาวน์โหลด (KB892842) ได้จากลิงก์นี้


• Microsoft Office XP Service Pack 3
  Microsoft Office XP Software:
  • Microsoft Outlook 2002 – ดาวน์โหลด (KB892841) ได้จากลิงก์นี้
  • Microsoft Office XP Multilingual User Interface Packs – ดาวน์โหลด (KB892841) ได้จากลิงก์นี้

Note Multilingual User Interface Packs are for non- English packages.

• Microsoft Office 2003 Service Pack 1 and Service Pack 2
  Microsoft Office 2003 Software:
  • Microsoft Outlook 2003 – ดาวน์โหลด (KB892843) ได้จากลิงก์นี้
  • Microsoft Office 2003 Multilingual User Interface Packs – ดาวน์โหลด (KB892843) ได้จากลิงก์นี้
  • Microsoft Office 2003 Language Interface Packs – ดาวน์โหลด (KB887617) ได้จากลิงก์นี้

  Note Multilingual User Interface Packs are for non- English packages
  

• Microsoft Exchange Server
  • Microsoft Exchange Server 5.0 Service Pack 2 – ดาวน์โหลด (KB894689) ได้จากลิงก์นี้
  • Microsoft Exchange Server 5.5 Service Pack 4 – ดาวน์โหลด (KB894689) ได้จากลิงก์นี้
  • Microsoft Exchange 2000 Server Pack 3 with the Exchange 2000 Post-Service Pack 3 Update Rollup of August 2004 – ดาวน์โหลด (894689) ได้จากลิงก์นี้
    

ซอฟต์แวร์ที่ไม่ได้รับผลกระทบ

• Microsoft Exchange Server 2003 Service Pack 1
• Microsoft Exchange Server 2003 Service Pack 2
  

วิธีแก้ไขปัญหา

ให้ติดตั้งโปรแกรมอุดช่องโหว่ตามข้อมูลด้านบน

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์