vulnerabilities
ช่องโหว่ใน Internet Explorer 6 และ 7
by admin on Nov.26, 2009, under vulnerabilities
ไมโครซอฟท์เตือนถึงช่องโหว่ใน Internet Explorer 6 Service Pack 1 ใน Windows 2000 Service Pack 4, และ Internet Explorer 6 และ Internet Explorer 7 ใน Windows XP, Windows Server 2003, Windows Vista, และ Windows Server 2008 ซึ่งอาจทำให้ผู้โจมตีสามารถเอ็กซิคิวท์คำสั่งที่ต้องการจากระยะไกลได้ (remote code execution) โดยการสร้างเว็บไซต์พิเศษเพื่อโจมตีช่องโหว่ใน Internet Explorer และหลอกล่อให้ผู้ใช้เปิดดูเว็บไซต์นี้
ในขณะนี้ยังไม่มีซอฟทแวร์แก้ไขจากไมโครซอฟท์ มีเพียงคำแนะนำเพื่อป้องกันดังต่อไปนี้คือ
- กำหนดค่าของ Internet และ Local intranet security zone ให้เป็น “High” เพื่อให้ถามผู้ใช้ ก่อนใช้งาน ActiveX Controls และ Active Scripting ในโซนเหล่านี้
- กำหนดให้ Internet Explorer ถามผู้ใช้งานก่อนใช้งาน Active Scripting หรือ ปิดการใช้งาน Active Scripting ใน Internet และ Local intranet security zone
- เปิดการใช้งาน DEP สำหรับ Internet Explorer 6 หรือ Internet Explorer 7
อ่านรายละเอียดเพิ่มเติมได้จาก
http://www.microsoft.com/technet/security/advisory/977981.mspx
(ภาพประกอบจาก blogs.securiteam.com)
ช่องโหว่ใน Windows 7 และ Server 2008 R2 ที่ทำให้ระบบแครชได้
by admin on Nov.14, 2009, under vulnerabilities
Laurent Gaffié เปิดเผยถึงช่องโหว่ในระบบปฏิบัติการ Windows 7 และ Server 2008 R2 ในส่วนของ SMB (tcp/445) ที่ผู้โจมตีสามารถทำให้ระบบที่มีผลกระทบหยุดทำงานผ่านทางเครือข่ายท้องถิ่นหรือเว็บบราวเซอร์ได้
ในขณะนี้ยังไม่มีซอฟท์แวร์แก้ไขจากไมโครซอฟท์ มีเพียงการใช้อินเทอร์เน็ตอย่างระมัดระวัง รวมถึงเฝ้าดูและจำกัดข้อมูลจราจรที่เข้าและออกจากเครือข่าย (egress filtering)
รายละเอียดเพิ่มเติม
http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html
http://isc.sans.org/diary.html?storyid=7573
http://security-sh3ll.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html
ช่องโหว่ในลีนุกซ์
by admin on Nov.11, 2009, under vulnerabilities
นักพัฒนาซอฟท์แวร์ได้ค้นพบบั๊กในลีนุกซ์เวอร์ชั่นส่วนใหญ่ที่อาจยอมให้ผู้ใช้ที่ไม่ได้รับความเชื่อถือสามารถควบคุมระบบโดยสิ้นเชิง ผ่านทางระบบปฏิบัติการแบบโอเพ่นซอร์สนี้ได้
ช่องโหว่ที่เรียกว่า null pointer dereference ได้แก้ไขในลีนุกซ์เคอร์เนลเวอร์ชั่น 2.6.32 และต่อมาเท่านั้น ทำให้เวอร์ชั่นอื่น ๆ ทั้งหมดมีผลกระทบกับทั้งสิ้น ขณะที่สามารถป้องกันจากการโจมตีโดยการใช้ฟีเจอร์ที่เรียกว่า mmap_min_addr ซึ่งมีมาพร้อมกับ RHEL หรือ Red Hat Enterprise Linux แต่อย่างไรก็ตามมันก็ไม่สามารถป้องกันการโจมตีได้อย่างถูกต้อง
นอกจากนี้ผู้ดูแลระบบยังถูกบังคับแบบกลาย ๆ ให้ต้องเปิดการทำงานของฟีเจอร์นี้ เพื่อให้เครื่องมือสำหรับการพัฒนาหรือ desktop environment อย่างเช่นโปรแกรม Wine สามารถทำงานได้
ช่องโหว่นี้รายงานครั้งแรกโดย Spengler ซึ่งเป็นนักพัฒนาของ grsecurity ผู้ซึ่งสร้างแอพพลิเคชั่นหลายตัวที่ช่วยเพิ่มความปลอดภัยให้กับลีนุกซ์ ตลอดหลายเดือนที่ผ่านมา เขาได้วิจารณ์ถึงวิธีปฏิบัติด้านความปลอดภัยที่ทีมรับผิดชอบลีนุกซเคอร์เนลได้ทำ
ในเดือนกรกฎาคม Spengler ได้เผยแพร่ช่องโหว่อีกประเด็นหนึ่งที่ดึงดูดความสนใจ เนื่องจากมันทำงานได้ผลแม้แต่กับลีนุกซ์เวอร์ชั่นที่แก้ไขช่องโหว่และได้เสริมความปลอดภัยแล้วด้วย มันโจมตีช่องโหว่ null pointer dereference อีกประเด็นหนึ่ง ในระบบปฏิบัติการที่ใช้ SELinux หรือ Security-Enhanced Linux
ส่วนช่องโหว่ล่าสุดนี้จะบรรเทาความรุนแรงลงตามค่าปริยายในลีนุกซ์ดิสทริบิวชั่นส่วนใหญ่ เนื่องจากการใช้ฟีเจอร์ mmap_min_addr อย่างถูกต้อง แต่ใน RHEL การทำให้ระบบใช้งานกับแอพพลิเคชั่นส่วนใหญ่ได้ กลับทำให้ดิสทริบิวชั่นนี้มีช่องโหว่ต่อการโจมตีนี้ได้ถึงแม้จะได้เปิดฟีเจอร์นี้ก็ตาม
เขาบอกว่ามีลีนุกซ์ตัวอื่น ๆ ที่มีช่องโหว่นี้ด้วยเนื่องจากพวกเขาใช้เวอร์ชั่นเก่าหรือถูกบังคับให้ต้องปิดฟีเจอร์นี้เพื่อใช้งานแอพพลิเคชั่นบางตัว
แหล่งข่าว
http://www.theregister.co.uk/2009/11/03/linux_kernel_vulnerability/
ช่องโหว่ในวินโดวส์วิสต้าและ server 2008
by admin on Sep.11, 2009, under vulnerabilities
ไมโครซอฟท์เตือนผู้ใช้วินโดวส์วิสต้าและ server 2008 ถึงช่องโหว่ในส่วนของ Microsoft Server Message Block (SMB) ซึ่งอาจทำให้ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้
ในขณะนี้ยังไม่มีซอฟท์แวร์แก้ไขช่องโหว่นี้จากไมโครซอฟท์ แต่ไมโครซอฟท์แนะนำให้ผู้ใช้ป้องกันจากการโจมตีโดยการปิดทำงานของ SMB และ/หรือการบล็อค TCP port 139 และ 445 ที่ไฟร์วอลล์
วิธีปิดการทำงานของ SMB v2 (การปิดการทำงานของ SMB จะทำให้โฮสต์ไม่สามารถสื่อสารโดยใช้ SMB2 ได้)
1. คลิก Start, คลิก Run, พิมพ์ Regedit ใน Open box, จากนั้นจึงคลิก OK
2. หาและคลิกที่ registry subkey ต่อไปนี้ :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
3. คลิกที่ LanmanServer
4. คลิกที่ Parameters
5. คลิกขวาเพื่อเพิ่มค่า DWORD (32 bit) ใหม่
6. ใส่ smb2 เข้าไปใน Name data field และเปลี่ยน Value data field เป็น 0
7. ออกจากโปรแกรม
8. รีสตาร์ท “Server” service โดยทำดังต่อไปนี้
– เปิด computer management MMC ไปที่ Services and Applications, คลิกที่ Services, คลิกขวาที่ Server และคลิก Restart ตอบ Yes เมื่อมีเมนู pop-up ขึ้นมา
– หรือจาก command prompt พิมพ์ net stop server และพิมพ์ว่า net start server โดยใช้สิทธิ์ของ administrator ในระบบ
อ่านรายละเอียดเพิ่มเติมได้จาก
http://www.microsoft.com/technet/security/advisory/975497.mspx
วิธีที่ง่ายที่สุดในการขโมยหมายเลขบัตรเครดิต (ภาพ)
by pom on Jan.30, 2008, under vulnerabilities
Leave a Comment more...