สำหรับช่องโหว่ใหม่ที่พบนี้รายงานโดย VUPEN Security บริษัทระบบรักษาความปลอดภัยในฝรั่งเศษ เมื่อวันที่ 9 ธันวาคมที่ผ่านมา โดยส่งผลกระทบกับบราวเซอร์ Internet Explorer เวอร์ชัน 6, 7 และ 8 ที่ทำงานบนระบบปฏิบัติการ Windows XP, Windows Vista และ Windows 7
VUPEN ได้จัดระดับความรุนแรงของช่องโหว่นี้เป็น "วิกฤต" (critical) เนื่องจากช่องโหว่ดังกล่าวจะสามารถทำให้เกิดข้อผิดพลาดในการจัดการหน่วยความจำของกลไกการวิเคราะห์คำสั่ง HTML โดยเฉพาะขั้นตอนในการนำเข้า CSS ของหน้าเว็บ ซึ่งผู้บุกรุกสามารถสร้างหน้าเว็บโดยอาศัยช่องโหว่ของการทำงานที่พบนี้ ส่งโค้ดอันตรายเข้าไปในเครื่องคอมพิวเตอร์ของเหยื่อด้วยการข้ามผ่าน (bypass) DEP และ ASLR ระบบรักษาความปลอดภัยที่มากับ Windows ได้ แต่ประเด็นที่น่ากลัวก็คือ เมื่อวันพุธที่ผ่านมา โค้ดอันตรายที่ใช้ช่องโหว่ดังกล่าวได้ถูกเผยแพร่ในเครื่องมือแฮคที่ชื่อว่า Metasploit บนอินเทอร์เน็ตแล้ว (ตัวอย่างในคลิปวิดีโอข้างล่าง โชว์ให้เห็นการบายพาสระบบรักษาความปลอดภัยด้วยการสั่งรันโปรแกรมเครื่องคิดเลขจากหน้าเว็บที่ใช้ช่องโหว่ดังกล่าว)
Internet Explorer CSS 0day on Windows 7 from Offensive Security on Vimeo.
แสดงบนเว็บไซด์ : http://www.it4x.com
ที่อยู่ของข้อความต้นฉบับ: http://arip.co.th/news.php?id=412870
บันทึกการเข้า
