[p]นักวิเคราะห์ระบบรักษาความปลอดภัยบนคอมพิวเตอร์เตือนว่า พบบั๊กในบราวเซอร์ Internet Explorer ที่เปิดช่องโหว่ให้ผู้บุกรุกสามารถจู่โจมเครื่องคอมพิวเตอร์ของเหยื่อได้ ด้วยการเพียงแค่หลอกล่อให้ผู้ใช้คลิกรูปภาพบนเว็บเท่านั้น [p]สำหรับช่องโหว่ที่พบจะส่งผลกระทบกับเครื่องที่ใช้ระบบปฏิบัติการ Windows XP ที่ถึงแม้จะได้รับการอัพเดตแพตช์ระบบรักษาความปลอดภัย SP2 (Microsoft Service Pack 2) แล้วก็ตาม ซึ่งทำให้บั๊กที่พบนี้ค่อนข้างอันตรายต่อผู้ใช้มากที่สุด นักวิจัยกล่าวว่า บราวเซอร์ IE เวอร์ชัน 5.01, 5.5 และ 6 จะมีขั้นตอนการทำงานของ drag-and-drop บนหน้าจอโปรแกรมที่ไม่มีประสิทธิภาพ ทำให้แฮคเกอร์สามารถสอดแทรกโค้ดโปรแกรมผ่านจาก “internet zone” เข้าไปยังเครื่องของผู้ใช้ได้ [p]ในการสาธิตบั๊กดังกล่าวได้มีการโพสต์ไว้บนออนไลน์ด้วย โดยแฮคเกอร์ที่ใช้ชื่อว่า “white-hat” ซึ่งจะใช้วิธีสร้างแท็กปลอม http-quiv เมื่อผู้ใช้คลิกลากภาพกราฟิกบนหน้าเว็บไปไว้ที่ต่างๆ อย่างเช่น ลากกราฟิกจากหน้าเว็บไปวางไว้ในโปรแกรมแก้ไขภาพ โฟลเดอร์ หรือเดสก์ทอป ซึ่งในขั้นตอนนี้จะมีการส่งโค้ดเข้าไปเก็บไว้ในโฟลเดอร์ startup ของผู้ใช้ เพื่อให้โปรแกรมถูกเรียกทำงาน เมื่อมีการเปิด Windows ขึ้นทำงานในครั้งต่อไป [p]Secunia บริษัทที่เกียวข้องกับทางด้านความปลอดภัยของระบบไอทีให้ความเห็นว่า ด้วยความที่โค้ดดังกล่าวเขียนขึ้นได้ง่ายมาก ทำให้บั๊กนี้อันตรายมาก จากตัวอย่างที่แฮคเกอร์เขียนขึ้นมานั้น มันไม่ใช่เรื่องยากเลย หากจะเขียนใหม่โดยเปลี่ยนวิธีการลากให้เหลือแค่เพียงคลิกเดียว!!! [p]ในขณะที่ยังไม่มีคำตอบสำหรับการแก้ไขบั๊กนี้จากไมโครซอฟท์ ทาง Secunia แนะนำให้ผู้ใช้ปิดการทำงานของ active scripting หรือเปลี่ยนไปใช้บราวเซอร์อื่นแทนไปก่อน [p]ทาง Secunia กำหนดให้บั๊กที่พบมีความรุนแรงในระดับ “highly critical” แต่ไมโครซอฟท์ไม่เห็นด้วยว่า ผู้ใช้จะมีโอกาสโดนเล่นงานในลักษณะนี้ อย่างไรก็ตามทางไมโครซอฟท์ยังไม่ออกแพตช์แต่อย่างใด เพียงแต่แจ้งว่าทางบริษัทกำลังตรวจสอบบั๊กดังกล่าวเท่านั้น [p]กรณีนี้จะมีลักษณะคล้ายกับตอนที่มีการแจ้งพบบั๊กใน SP2 โดย Heise Security บริษัทของชาวเยอรมัน ซึ่งเตือนว่า การทำงานใน “ส่วนแจ้งเตือนของระบบ” มีโอกาสมองข้ามไฟล์อันตรายที่สามารถเล็ดลอดเข้าไปได้ แต่นักวิเคราะห์ระบบส่วนใหญ่ รวมทั้ง Heise Security เองมองว่า การนำบั๊กนี้ไปใช้เป็นเรื่องยากมาก [color=red]ขั้นตอนการปิดการทำงานของ active scripting ใน Internet Explorer 5.01, 5.5 และ 6 [/color]1. คลิกเมนู Tools เลือกคำสั่ง Internet Options คลิกแท็บ Security คลิกเลือก Web content zone เป็น Internet (รูปโลกที่อยู่ซ้ายสุด) จากนั้นคลิกปุ่ม Custom Level 2. ในบ๊อก Settings: เลื่อนไปยังเซคชั่น Scripting คลิกเลือก Disable ใต้หัวข้อ Active scripting และ Scripting of Java applets 3. คลิกปุ่ม OK และคลิกปุ่ม OK อีกครั้งเป็นอันเรียบร้อย [img]http://www.online-station.net/news/files/0408/774_disactive.jpg[/img]
