สำหรับช่องโหว่ใหม่ที่พบนี้รายงานโดย VUPEN Security บริษัทระบบรักษาความปลอดภัยในฝรั่งเศษ เมื่อวันที่ 9 ธันวาคมที่ผ่านมา โดยส่งผลกระทบกับบราวเซอร์ Internet Explorer เวอร์ชัน 6, 7 และ 8 ที่ทำงานบนระบบปฏิบัติการ Windows XP, Windows Vista และ Windows 7
VUPEN ได้จัดระดับความรุนแรงของช่องโหว่นี้เป็น "วิกฤต" (critical) เนื่องจากช่องโหว่ดังกล่าวจะสามารถทำให้เกิดข้อผิดพลาดในการจัดการหน่วยความจำของกลไกการวิเคราะห์คำสั่ง HTML โดยเฉพาะขั้นตอนในการนำเข้า CSS ของหน้าเว็บ ซึ่งผู้บุกรุกสามารถสร้างหน้าเว็บโดยอาศัยช่องโหว่ของการทำงานที่พบนี้ ส่งโค้ดอันตรายเข้าไปในเครื่องคอมพิวเตอร์ของเหยื่อด้วยการข้ามผ่าน (bypass) DEP และ ASLR ระบบรักษาความปลอดภัยที่มากับ Windows ได้ แต่ประเด็นที่น่ากลัวก็คือ เมื่อวันพุธที่ผ่านมา โค้ดอันตรายที่ใช้ช่องโหว่ดังกล่าวได้ถูกเผยแพร่ในเครื่องมือแฮคที่ชื่อว่า Metasploit บนอินเทอร์เน็ตแล้ว (ตัวอย่างในคลิปวิดีโอข้างล่าง โชว์ให้เห็นการบายพาสระบบรักษาความปลอดภัยด้วยการสั่งรันโปรแกรมเครื่องคิดเลขจากหน้าเว็บที่ใช้ช่องโหว่ดังกล่าว)
*Update [25 DEC 2010 @8:25 a.m.] ล่าสุดไมโครซอฟท์ได้ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่นี้แล้ว แม้จะไม่ได้แจงรายละเอียดว่า เหตุใดช่องโหว่ดังกล่าวถึงเปิดโอกาสให้แฮคเกอร์บายพาสระบบรักษาความปลอดภัยได้ แต่แนะนำให้ผู้ใช้ดาวน์โหลดเครื่องมือของทางบริษัทชื่อว่า Enhanced Mitigation Experience Toolkit เพื่อบังคับให้ระบบโหลด DLLs (ไลบรารี่ของทุกโปรแกรม) เข้าไปในที่ปลอดภัย (ASLR:Address Space Layout Randomisation) ซึ่งจะทำให้การโจมตีไม่สามารถทำได้สำเร็จ สำหรับวิดีโอสาธิตการใช้เครื่องมือนี้สามารถคลิกเข้าไปชมได้ในเว็บไซต์ Technet
ข้อมูลจาก: VUPEN
ไม่มีความคิดเห็น:
แสดงความคิดเห็น