The-Kings

The-King's profileThe-Kings PhotosBlogLists

Tools

Help

Blog

หัวข้อการพูดคุย 108 i see.

ยกคำพูดมา

108 i see.
I think you'll find this site interesting...

มีอะไรมากมายที่ยังต้องเรียนรู้ เห็นมาแล้วก็อยากเก็บไว้อ้างอิงกับตัวเอง

เคยเป็นไหมที่ นึกอะไรขึ้นมาได้ว่าเคยเห็นเรื่องนี้จากที่นั้น พอจะกลับไป จำไม่ได้แล้วว่า

มันอยู่ตรงไหนของ internet เพราะว่าวันๆ เราก็ท่องไปเรื่อยๆ

June 24 9:56 PM | Add a comment | Permalink | Blog it

CERT Advisory CA-2009-05 (Technical Cyber Security Alert TA09-041A)
Microsoft Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA09-041A.html
เรียบเรียงโดย: กฤดากร หิรัญพฤกษ์

ระบบที่ได้รับผลกระทบ

   * Microsoft Internet Explorer
   * Microsoft Office Visio
   * Microsoft Exchange and SQL Server

กล่าวโดยทั่วไป

ไมโครซอฟท์ได้เผยแพร่โปรแกรมซ่อมแซมช่องโหว่ซึ่งแก้ไขปัญหาช่องโหว่ของ Microsoft Windows และ Windows
Server.

I. คำอธิบาย

ไมโครซอฟท์ได้เผยแพร่โปรแกรมซ่อมแซมช่องโหว่ซึ่งแก้ไขปัญหาช่องโหว่ของ Microsoft Windows, Internet
Explorer, Exchange Server, SQL Server, Office และคอมโพเน้นต์ที่เกี่ยวข้องไว้ในส่วนหนึ่งของ Microsoft
Security Bulletin Summary ประจำเดือนกุมภาพันธ์ 2552

II. ผลกระทบ

ผู้บุกรุกซึ่งไม่จำเป็นต้องทำการพิสูจน์ตัวตนสามารถยกระดับสิทธิ์ของตนเอง
และรันโปรแกรมบนระบบที่มีช่องโหว่ได้จากระยะไกล รวมทั้งทำให้ระบบไม่สามารถใช้งานได้

III. วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของไมโครซอฟท์

ไมโครซอฟท์ได้ให้บริการโปรแกรมซ่อมแซมช่องโหว่ไว้ใน Microsoft Security Bulletin Summary
ประจำเดือนกุมภาพันธ์ 2552 โดยเอกสารดังกล่าวได้อธิบายถึงข้อมูลต่างๆ
ที่เกี่ยวข้องกับโปรแกรมซ่อมแซมช่องโหว่ ผู้ดูแลระบบควรตรวจสอบข้อมูลต่างๆ ตามที่ Bulletin
ได้อธิบายไว้และทดสอบเพื่อหาผลข้างเคียงอื่นๆ จากการติดตั้งโปรแกรมซ่อมแซมช่องโหว่

ผู้ดูแลระบบอาจใช้ระบบการติดตั้งโปรแกรมซ่อมแซมช่องโหว่แบบอัตโนมัติ เช่น Windows Server Update
Services (WSUS) เป็นต้น ในการติดตั้งโปรแกรมซ่อมแซมช่องโหว่

IV. เอกสารอ้างอิง

* Microsoft Security Bulletin Summary for February 2009 -
<http://www.microsoft.com/technet/security/bulletin/ms09-feb.mspx>
* Microsoft Windows Server Update Services -
<http://technet.microsoft.com/en-us/wsus/default.aspx>

- - - - - - - - - - - --------------------------------------

ท่านสามารถอ่านเอกสารฉบับนี้ได้ จาก http://www.thaicert.org/advisory/cert/CA-2009-05.php

ข้อมูลติดต่อศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT)

ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT)
ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ
112 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน
ตำบลคลองหนึ่ง อำเภอคลองหลวง
จังหวัดปทุมธานี 12120
โทรศัพท์: 0-2564-6868
โทรสาร: 0-2564-6871
E-mail: thaicert@nectec.or.th

รายละเอียดการบริการแจ้งข่าวสารด้านความปลอดภัยคอมพิวเตอร์ผ่านอี-เมล์

ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT)
ให้บริการแจ้งข่าวสารด้านความปลอดภัยคอมพิวเตอร์ผ่านอี-เมล์ แก่ผู้สนใจ
ท่านสามารถสมัคร แก้ไขข้อมูล หรือ ยกเลิกการเป็นสมาชิกรับข่าวสาร
ได้ที่ http://www.thaicert.nectec.or.th/mailinglist/register.php

ข้อสงวนสิทธิ์ของ ThaiCERT

ThaiCERT เป็นหน่วยงานในสังกัดของ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และ
คอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
ซึ่งมีบริการส่วนหนึ่งเป็นการบริการเผยแพร่ความรู้ด้านการรักษาความปลอดภัย
ของระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ตามหลักวิชาการให้แก่สาธารณะ
โดยไม่คิดค่าใช้จ่ายใดๆ ทั้งสิ้น ดังนั้นการเชื่อหรือการปฏิบัติตามข้อเสนอแนะ
คำแนะนำ หรือความเห็นของ ThaiCERT จึงเป็นสิทธิ์และดุลยพินิจโดยสมบูรณ์ของบุคคล
ThaiCERT จึงสงวนสิทธิ์ที่จะไม่รับผิดชอบในความสูญหายหรือเสียหายที่เกิดขึ้นแก่ข้อมูล
ระบบคอมพิวเตอร์ เครือข่ายคอมพิวเตอร์ หรือทรัพย์สินอื่นใดของผู้ที่นำเอาข้อเสนอแนะ
คำแนะนำ หรือความเห็นของ ThaiCERT ไปปฏิบัติโดยไม่ถูกต้องตามหลักวิชาการ
นอกจากนี้ ThaiCERT สงวนสิทธิ์ไม่รับผิดชอบในความสูญหายหรือเสียหายที่เกิดขึ้นแก่ข้อมูล
ระบบคอมพิวเตอร์ เครือข่ายคอมพิวเตอร์ หรือทรัพย์สินอื่นใดของบุคคลใดอันเป็นผล
มาจากการกระทำของผู้บุกรุกเครือข่ายคอมพิวเตอร์ (Hacker) และไวรัสคอมพิวเตอร์
ซึ่งรวมถึง Worm และ Trojan ทั้งนี้ ไม่ว่าการกระทำนั้นจะเกิดขึ้นในระบบหรือเครือ
ข่ายคอมพิวเตอร์ของ ThaiCERT หรือของบุคคลใด และในสภาวะใด ๆ ก็ตาม

การตรวจสอบที่มาและความถูกต้อง

ThaiCERT ขอแนะนำให้ผู้ที่ได้รับ e-mail หรือเยี่ยมชมเว็บไซต์ตรวจสอบที่มาและ
ความถูกต้องของสาระ บทความ ข้อมูล สัญลักษณ์ รูปภาพ เสียง และรูปแบบต่างๆ
ที่ปรากฏอยู่ใน e-mail หรือเว็บไซต์ว่า เป็นของ ThaiCERT หรือไม่ โดยตรวจสอบได้ ดังนี้

I. e-mail

สาระภายใน e-mail จะต้องมีการลงลายมือชื่ออิเล็กทรอนิกส์ในลักษณะ
ที่เป็น Digital Signature จากโปรแกรมคอมพิวเตอร์ PGP ทุกครั้ง และต้องทำการพิสูจน์
ได้ว่าเป็น Digital Signature ของ ThaiCERT จริง และท่านสามารถดาวน์โหลด
PGP Public Key ของ ThaiCERT ได้ที่
http://www.thaicert.nectec.or.th/ThaiCERT.asc

II. เว็บไซต์

ที่อยู่ (URL) ของ ThaiCERT จะต้องเป็น http://www.thaicert.nectec.or.th หรือ
http://www.thaicert.org เท่านั้น
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)

February 14 10:01 PM | Add a comment | Permalink | Blog it | คอมพิวเตอร์และอินเทอร์เน็ต

รายงาน ไวรัสวันนี้

เตือนพบโทรจัน Mac OS X ใน Photoshop CS4 เวอร์ชั่นเถื่อน (ของถูก)

คงต้องระวังกันหน่อยแล้วละครับ สำหรับท่านที่ชอบซื้อแผ่นโปรแกรม ที่ทำขายกัน มี keygen ปลดให้เรียบร้อย แล้วแถม โทรจัน เอาไว้ใช้งานอีก 1 โปรแกรม
ราคาก็ถูก (เก็บโทรจันไว้ทำสงคราม เชื้อโลก) ของให้ท่านโชดดี

มีการเปิดเผยว่าซอฟท์แวร์ Photoshop CS4 แบบละเมิดลิขสิทธิ์ที่มีการถูกนำมาปล่อยให้โหลดบนบิททอเร็นท์นั้นมีการแฝงโทรจัน OSX.Trojan.iServices.B เข้ามาด้วยซึ่งจะมีผลต่อผู้ดาวน์โหลดไปแล้วกว่า 5,000คน

หลังจากที่สัปดาห์ที่แล้วมีการพบโทรจันแฝงตัวอยู่ใน iWork 09 เวอร์ชั่นละเมิดลิขสิทธิ์ ล่าสุดก็มีการเปิดเผยว่าใน Photoshop CS4 เวอร์ชั่น Mac ที่ถูกนำมาปล่อยให้ดาวน์โหลดในแบบละเมิดลิขสิทธิ์ตามเวบบิททอเร็นท์ต่างๆนั้นมีการแฝงโทรจัน OSX.Trojan.iServices.B เข้ามาด้วย โดยโทรจันจะแฝงตัวอยู่ในโปรแกรม crack หรือที่ใช้สร้างหมายเลขซีเรียล ส่วนตัวไฟล์ที่ติดตั้ง Photoshop CS4 นั้นถูกตรวจสอบแล้วว่าไม่มีการแฝงโทรจันเข้ามา ซึ่งโทรจันดังกล่าวจะเปิดช่องโหว่ระบบให้ผู้ไม่หวังดีสามารถใช้เป็นช่องทางในการเจาะระบบเข้ามาได้ โดย Intego ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์เชื่อว่ามีผู้ใช้คอมพิวเตอร์ที่ดาวน์โหลดไฟล์ดังกล่าวไปแล้ว และน่าจะโดนผลกระทบจากโทรจันดังกล่าวกว่า 5,000คน

ข้อมูลจาก http://www.pantip.com

January 29 4:12 PM | Add a comment | Permalink | Blog it | คอมพิวเตอร์และอินเทอร์เน็ต

รายงาน ไวรัสวันนี้

หวังว่าข้อมูลที่ผมนำมาลงไว้นี้จะเป็นประโยชน์บ้างนะครับ

ไม่มากก็นัอย ติชมก้นได้ครับ

CERT Advisory CA-2009-04 (Technical Cyber Security Alert TA09-022A)
Apple QuickTime Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA09-022A.html
เรียบเรียงโดย: ณัฐพงษ์ แสงเลิศศิลปชัย

ระบบที่ได้รับผลกระทบ

* Apple QuickTime 7.5 สำหรับระบบปฏิบัติการ Windows และ Mac OS X

กล่าวโดยทั่วไป

บริษัท Apple ได้ออกโปรแกรม QuickTime 7.6 เพื่อแก้ไขช่องโหว่หลายช่องโหว่ซึ่งมีผลกระทบต่อโปรแกรม
QuickTime ทั้งบนระบบปฏิบัติการ Mac OS X และ Windows
โดยผู้บุกรุกอาจบุกรุกช่องโหว่เพื่อสั่งรันโค้ดหรือทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

Apple QuickTime 7.6 ได้แก้ไขช่องโหว่จำนวนหนึ่งของโปรแกรม
ซึ่งผู้บุกรุกอาจโจมตีช่องโหว่ดังกล่าวโดยลวงให้ผู้ใช้เปิดไฟล์มัลติมีเดียหรือไฟล์ภาพยนตร์ที่สร้างขึ้นเป็นพิเศษเพื่อบุกรุก
จากบนหน้าเว็บหรือส่งแนบมากับอีเมล์

II. ผลกระทบ

ผลกระทบจากช่องโหว่มีหลากหลาย โดยตัวอย่างผลกระทบที่สำคัญ เช่น ผู้บุกรุกสามารถรันโค้ดบนระบบ
และทำให้ระบบไม่สามารถให้บริการได้ เป็นต้น

III. วิธีแก้ไข

ติดตั้ง QuickTime 7.6 โดยโปรแกรม QuickTime เวอร์ชันนี้และโปรแกรมซ่อมแซมช่องโหว่อื่นของ QuickTime
สามารถดาวน์โหลดได้จาก Software Update หรือ Apple Downloads

IV. เอกสารอ้างอิง

   * About the security content of QuickTime 7.6 - <http://support.apple.com/kb/HT3403>
   * Apple Support Downloads - <http://support.apple.com/downloads/>
   * Mac OS X - updating your software - <http://support.apple.com/kb/HT1338?viewlocale=en_US>
   * Securing Your Web Browser - <https://www.us-cert.gov/reading_room/securing_browser/>

- - - - - - - - - - - --------------------------------------

ท่านสามารถอ่านเอกสารฉบับนี้ได้ จาก http://www.thaicert.org/advisory/cert/CA-2009-04.php

รายละเอียดการบริการแจ้งข่าวสารด้านความปลอดภัยคอมพิวเตอร์ผ่านอี-เมล์

ข้อสงวนสิทธิ์ของ ThaiCERT

การตรวจสอบที่มาและความถูกต้อง

I. e-mail

II. เว็บไซต์

January 23 9:47 PM | Add a comment | Permalink | Blog it | คอมพิวเตอร์และอินเทอร์เน็ต

รายงาน ไวรัสวันนี้

CERT Advisory CA-2009-03 (Technical Cyber Security Alert TA09-020A)
Microsoft Windows Does Not Disable AutoRun Properly
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA09-020A.html
เรียบเรียงโดย: ณัฐพงษ์ แสงเลิศศิลปชัย

ระบบที่ได้รับผลกระทบ

* ระบบปฏิบัติการ Microsoft Windows

กล่าวโดยทั่วไป

การระงับใช้ AutoRun ในระบบปฏิบัติการ Microsoft Windows สามารถช่วยป้องกันอันตรายจากโค้ดที่ประสงค์ร้าย
เช่น ไวรัสคอมพิวเตอร์ หรือหนอน (Worm) ได้ อย่างไรก็ตามคำแนะนำของไมโครซอฟท์ในการระงับใช้ AutoRun
ไม่สามารถหยุดการทำงานของ AutoRun ได้ทั้งหมดซึ่งอาจกลายเป็นช่องโหว่สำหรับการบุกรุก

I. คำอธิบาย

ระบบปฏิบัติการ Microsoft Windows มีความสามารถ AutoRun
ซึ่งสามารถรันโค้ดโดยอัตโนมัติเมื่ออุปกรณ์ต่อเชื่อมที่ถอดออกได้ (removable device) เช่น ไดรฟ์ USB
เป็นต้น ถูกเชื่อมต่อกับเครื่องคอมพิวเตอร์ โดย AutoRun และความสามารถที่คล้ายกันคือ AutoPlay
อาจสั่งรันโค้ดโดยที่ผู้ใช้ไม่รู้ตัวจากสถานการณ์ต่อไปนี้

1. อุปกรณ์ต่อเชื่อมที่ถอดออกได้ถูกเชื่อมต่อกับเครื่องคอมพิวเตอร์ โดยอุปกรณ์เหล่านั้นได้แก่
แผ่นซีดี (CD) หรือดีวีดี (DVD) อุปกรณ์ที่เชื่อมต่อผ่านพอร์ท USB หรือไฟร์ไวร์ (Firewire)
หรือไดรฟ์บนระบบเครือข่าย
การเชื่อมต่อกับอุปกรณ์ดังกล่าวสามารถรันโค้ดอัตโนมัติได้โดยที่ผู้ใช้ไม่ต้องทำการยืนยันใดๆ อีก
<http://www.thaicert.org/advisory/cert/images/mapnetworkdrive.png>
2. ผู้ใช้คลิ้กหรือดับเบิ้ลคลิ้กไอคอนของอุปกรณ์ต่อเชื่อมที่ถอดออกได้ในโปรแกรม Windows Explorer
แทนที่การเปิดเพื่อดูข้อมูลในไดรฟ์ การดับเบิ้ลคลิ้กนี้สามารถรันโค้ดที่ถูกเขียนไว้ได้
<http://www.thaicert.org/advisory/cert/images/windowsexplorer.png>
3. ผู้ใช้เลือกตัวเลือกจากหน้าต่าง AutoPlay
ที่แสดงขึ้นมาเมื่ออุปกรณ์ต่อเชื่อมที่ถอดออกได้ถูกเชื่อมต่อ
<http://www.thaicert.org/advisory/cert/images/autoplay.png>

ซอฟต์แวร์ประสงค์ร้าย เช่น หนอน W32.Downadup ใช้ความสามารถ AutoRun นี้ในการแพร่กระจาย
ดังนั้นการระงับใช้งาน AutoRun
ที่มีประสิทธิภาพสามารถช่วยป้องกันการแพร่กระจายของซอฟต์แวร์ประสงค์ร้ายเหล่านี้ โดยการระงับใช้งาน
AutoRun สามารถอ่านเพิ่มเติมได้จากบล็อก (blog) CERT/CC Vulnerability Analysis

การตั้งค่า Autorun และ NoDriveTypeAutorun ในรีจิสทรีย์ของระบบปฏิบัติการ Microsoft Windows
ไม่สามารถระงับการใช้งาน AutoRun ได้โดยสมบูรณ์ โดยการตั้งค่า Autorun เป็น 0
ไม่ได้ป้องกันการรันโค้ดในไฟล์ Autorun.inf ของอุปกรณ์เชื่อมต่อชิ้นใหม่ แต่การตั้งค่านี้จะระงับข้อความ
MCN (Media Change Notification: ข้อความแจ้งเตือนเมื่อมีการเปลี่ยนสื่อบันทึก)
เมื่อมีการเปลี่ยนแผ่นซีดีหรือดีวีดี สำหรับการตั้ง NoDriveTypeAutorun เป็น 0xFF เพื่อระงับการใช้งาน
Autoplay สำหรับไดรฟ์ทุกประเภทตามที่ทางไมโครซอฟท์ระบุ
ไม่สามารถป้องกันการรันโค้ดจากการดับเบิ้ลคลิ้กไอคอนของไดรฟ์ในโปรแกรม Windows Explorer ได้

II. ผลกระทบ

ผู้บุกรุกสามารถสั่งรันโค้ดได้โดยอัตโนมัติเมื่ออุปกรณ์ถูกเชื่อมต่อเข้ากับเครื่องคอมพิวเตอร์โดยการสร้างไฟล์
Autorun.inf ไว้ในอุปกรณ์นั้น และเมื่อผู้ใช้ต้องการเปิดดูข้อมูลในอุปกรณ์ด้วยการดับเบิ้ลคลิ้กในโปรแกรม
Windows Explorer อาจเป็นการสั่งรันโค้ดได้

III. วิธีแก้ไข

ระงับการใช้งาน AutoRun

การระงับการใช้งาน AutoRun ในระบบปฏิบัติการ Microsoft Windows โดยสมบูรณ์
ทำได้โดยตั้งค่ารีจิสทรีย์ดังนี้

     REGEDIT4
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
     @="@SYS:DoesNotExist"

การตั้งค่ารีจิสทรีย์สามารถทำได้ตามขั้นตอนต่อไปนี้

1. คัดลอกข้อความการตั้งค่ารีจิสทรีย์ด้านบน
2. วางข้อความในโปรแกรม Notepad
3. บันทึกเป็นไฟล์ autorun.reg
4. ไปยังตำแหน่งที่บันทึกไฟล์ไว้
5. ทำการดับเบิ้ลคลิ้กที่ไฟล์เพื่อตั้งค่าในรีจิสทรีย์

ระบบปฏิบัติการ Microsoft Windows มีการเก็บค่า AutoRun ของอุปกรณ์ที่เคยต่อเชื่อมเป็นแคช (cache:
ข้อมูลสำรอง) ไว้ในค่ารีจิสทรีย์ MountPoint2
ดังนั้นจึงควรรีสตาร์ทระบบปฏิบัติการหลังตั้งค่ารีจิสทรีย์เพื่อเป็นการลบแคชที่เก็บไว้
หรืออาจลบค่ารีจิสทรีย์ด้านล่างแทนการรีสตาร์ทได้

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

เมื่อตั้งค่ารีจิสทรีย์ตามคำแนะนำแล้ว ระบบปฏิบัติการ Windows จะไม่อ่านไฟล์ Autorun.inf
หรือรันโค้ดจากการ AutoRun ตามสถานการณ์ในข้อ I. อีก รายละเอียดเพิ่มเติมอ่านได้ที่บล็อก CERT/CC
Vulnerability Analysis (วิธีการแก้ไขเบื้องต้นโดย Nick Brown และ Emin Atac)

IV. เอกสารอ้างอิง