Sunday, January 24, 2010

New Zero-Day vulnerabilities in Internet Explorer


พบช่องโหว่ความปลอดภัยใหม่ใน Internet Explorer
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์ (Microsoft) เพิ่งจะออกแพตซ์ (Patch) เป็นกรณีพิเศษ (Out-of-Band) เพื่อแก้ปัญหาความปลอดภัยไปร้ายแรงใน Internet Explorer (อ่านรายละเอียดได้ที่ Microsoft Releases Critical Out-of-Band Internet Explorer Patch) เมื่อวันที่ 22 มกราคม 2553 ที่ผ่านมา แต่หลังจากผ่านไปเพียงแค่วันเดียวก็มีรายงานการพบช่องโหว่ความปลอดภัย (Vulnerabilities) ใหม่อีกหลายตัวในโปรแกรม Internet Explorer เกิดขึ้นอีกแล้ว

โดยรายงานข่าว อ้างว่า บริษัท Core ซึ่งเป็นบริษัทที่ทำวิจัยเกี่ยวกับความปลอดภัย (Security Research) ด้านคอมพิวเตอร์ ได้ค้นพบช่องโหว่ความปลอดภัยใหม่ในโปรแกรม Internet Explorer ซึ่งแฮคเกอร์สามารถใช้เป็นช่องทางในการโจมตีระบบคอมพิวเตอร์แบบ Remote Access เพื่อเข้าควบคุมเครื่องคอมพิวเตอร์จากระยะไกลได้

Alvarez Medina ซึ่งเป็น Security Consultant ของบริษัท Core กล่าวว่ามี 3 หรือ 4 วิธีการที่จะใช้ช่องโหว่ที่ค้นพบใหม่นี้ในการโจมตีระบบ โดย Alvarez Medina จะสาธิตการโจมตีระบบโดยใช้ช่องโหว่เหล่านี้ในงาน Black Hat security conference ซึ่งจะจัดขึ้นใน Washington ในวันที่ 2 กุมภาพันธ์ ที่จะถึงนี้

สำหรับวิธีผลกระทบของช่องโหว่ความปลอดภัยที่ค้นพบใหม่นั้น แต่ละช่องโหว่ไม่มีความร้ายแรงสูงถึงระดับที่จะทำให้เครื่องคอมพิวเตอร์เกิดความเสี่ยงต่อการถูกโจมตีได้ แต่หากใช้หลายๆ ช่องโหว่ทำงานร่วมกันก็จะทำให้ Internet Explorer เกิดการแครชและทำให้เครื่องคอมพิวเตอร์เกิดความเสี่ยงต่อการถูกโจมตีได้

ทั้งนี้ ในการโจมตีระบบนั้น แฮคเกอร์จะต้องใช้ช่องโหว่ความปลอดภัยเล็กๆ ที่พบใหม่นี้ทำการโจมตีในเวลาเดียวกัน และผู้ใช้จะต้องทำการคลิกลิงก์ที่มีมัลแวร์แฝงอยู่ แฮคเกอร์จึงจะสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตีได้ หลังจากเข้าควบคุมเครื่องคอมพิวเตอร์ได้แล้วจากนั้นแฮคเกอร์ก็จะสามารถเข้าถึงข้อมูลทั้งหมดที่อยู่บนเครื่องคอมพิวเตอร์ได้

ในปัจจุบันยังไม่มีความเห็นใดๆ เกี่ยวกับรายงานนี้ออกมาจากทางไมโครซอฟท์ โดยโฆษกของไมโครซอฟท์ได้แถลงว่ายังไม่สามารถให้ความเห็นใดๆ ได้ในขณะนี้

อนึ่ง บริษัท Core นั้นได้ทำงานร่วมกับไมโครซอฟท์ เพื่อหาวิธีการลดผลกระทบจากช่องโหว่ความปลอดภัยที่อาจจะเกิดกับผู้ใช้ Internet Explorer

แหล่งข้อมูลอ้างอิง
Neowin

© 2010 TWA Blog. All Rights Reserved.

0 Comment: