8 กันยายน 2545 เวลา 19:50 น
รายงานข่าวแจ้งว่า เมื่อกลางสัปดาห์ที่แล้ว ไมโครซอฟท์ประกาศพบช่องโหว่ในระบบปฏิบัติการ Windows ที่อนุญาตให้แฮกเกอร์สามารถหลอกขโมยใช้สิทธิ์ในการเข้าถึงคอมพิวเตอร์ได้ หลายพันเครื่อง
ในส่วนของระดับความรุนแรงของความไม่ปลอดภัยที่ไมโครซอฟท์แจ้งไว้คือ “วิกฤติ” (critical) เนื่องจากช่องโหว่ที่ว่านี้จะมีผลกระทบกับผลิตภัณฑ์ไมโครซอฟท์หลายตัวด้วย รวมทั้งโปรแกรมต่างๆ ในเวอร์ชันสำหรับ Windows และ Macintosh ที่ต้องทำงานในขั้นตอนของใบรับรองดิจิตอล ซึ่งใช้สำหรับรับรองความมีตัวตนที่แท้จริงของเว็บไซต์ หรือโค้ดซอฟต์แวร์ ช่องโหว่นี้จะทำให้เว็บไซต์ที่มีใบรับรองดิจิตอลที่ถูกต้องอยู่แล้ว สามารถออกใบที่สองที่ไม่ใช่ของจริง เพื่อหลอกเอารหัสผ่าน หรือหมายเลขบัตรเครดิตของผู้ใช้ไปได้ ยกตัวอย่างเช่น ในขณะที่คุณกำลังอยู่ในเว็บไซต์แห่งหนึ่ง และที่เว็บไซต์นั้นบอกว่า “คลิ้กที่นี่ เพื่อไปยัง Amazon.com” แต่เมื่อคุณคลิ้กไปแล้ว มันกลับไม่ได้พาคุณไปที่ Amazon.com แต่เข้าไปยังเว็บไซต์ที่ทำหน้าตาให้เหมือน Amazon.com และหลอกให้คุณป้อนหมายเลขบัตรเครดิต เป็นต้น ผู้เชี่ยวชาญแจ้งว่า มันดูไม่เหมือนการใช้โอกาสของช่องโหว่เสียทีเดียว แต่เนื่องจากช่องโหว่นี้จะอยู่ในส่วนกลไกของกุญแจรับรองความปลอดภัยที่เรียก ว่า “CryptoAPI” ซึ่งมักจะถูกนำไปใช้โดยโปรแกรมที่ไม่ใช่ของไมโครซอฟท์เอง โดยใช้เพื่อให้สามารถทำงานบน Windows ได้ นั่นยิ่งทำให้โอกาสพบช่องโหว่มีมากขึ้น นักวิจัยอ้างว่า แม้ข้อผิดพลาดที่เกิดขึ้นจะเป็นเพียงจุดเล็กๆ จุดหนึ่ง แต่มันส่งผลกระทบกับโครงสร้างพื้นฐานของระบบความปลอดภัย ซึ่งถือเป็นข่าวร้าย ส่วนข่าวดีก็คือ อาจจะยังไม่มีใครสามารถใช้ประโยชน์จากช่องโหว่นี้ได้จริงไปอีกหลายปี ในบูลเลตินของไมโครซอฟท์ ได้เตือนเกี่ยวกับช่องโหว่นี้ว่า ปัญหาเกิดจากการทำงานที่ CryptoAPI ในส่วนของการออกใบรับรองดิจิตอลที่ไม่เหมาะสม ซึ่ง Windows ใช้ API ตัวนี้ในการรับรองเว็บไซต์ตัวจริง และคอมโพเนนต์ซอฟต์แวร์อย่างเช่น ไดรเวอร์ต่างๆ และป้องกันผู้บุกรุก ไมโครซอฟท์เร่งรัดให้ผู้บริโภค และธุรกิจรีบติดตั้งชุดซอฟต์แวร์แก้ไข หรือแพตช์ เพื่อแก้ปัญหาช่องโหว่ดังกล่าว แม้แต่ Windows 2000 หนึ่งในระบบปฏิบัติการที่ใช้กันมากที่สุดในกลุ่มธุรกิจก็ยังต้องลงโปรแกรม แพตช์ด้วยเหมือนกัน ในระยะแรกนี้ ทางไมโครซอฟท์ออกแพตช์มาแล้วสำหรับ Windows NT 4, Windows NT 4 Terminal Server, Windows XP และ Windows XP 64-bit Edition นอกจากนี้ยังมีแพตช์สำหรับเวอร์ชันที่ต่ำลงมาอย่าง Windows 98, Windows 98SE และ Windows Me สำหรับโปรแกรมของไมโครซอฟท์ที่ใช้รันบน Macintosh และได้รับผลกระทบของช่องโหว่ดังกล่าวจะมีอยู่ 6 ตัวด้วยกันได้แก่ Office v. X, Office 2001, Office 98, IE for Mac OS 8 & 9, IE for Mac OS X และ Outlook Express 5.05 ซึ่งคาดว่าจะมีแพตช์สำหรับโปรแกรมออกตามมาเร็วๆ นี้ เมื่อเดือนที่แล้ว ไมโครซอฟท์ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่เกิดขึ้นแยกต่างหาก แต่ส่งผลกระทบกับการรับรองดิจิตอลเหมือนกัน ซึ่งช่องโหว่นั้นไม่ได้อนุญาตให้แฮกเกอร์ขโมยใบรับรองไปได้ แต่มันยอมให้ผู้บุกรุกเข้าทำลายข้อมูลให้เสียหาย หรือใช้งานไม่ได้ ไมโครซอฟท์เตือนว่า คอมพิวเตอร์ที่ไม่ได้ลงชุดโปรแกรมแก้ไข หรือแพตช์ดังกล่าว จะล่อแหลมต่อการบุกรุกได้หลายทาง เนื่องจาก CryptoAPI อาจไม่สามารถรู้ได้ว่า ใบรับรองดิจิตอลใบที่สองเป็นของปลอม เลยไม่มีการแจ้งเตือนผู้ใช้ ซึ่งเปิดโอกาสให้ผู้ออกใบรับรองปลอมดังกล่าวสามารถเปลี่ยนเส้นทางการใช้งาน ของผู้ใช้ไปยังเว็บไซต์อีกแห่งหนึ่ง เพื่อทำธุรกรรมออนไลน์พร้อมทั้งใช้ SSL อีกด้วย ซึ่งผู้ใช้จะไม่รู้ และเชื่อสนิทว่า ยังคงทำธุรกรรมอย่างปลอดภัยกับเว็บไซต์ที่ตนเองเชื่อถือ SSL ก็คือ เทคโนโลยีสำหรับการเข้ารหัสข้อมูลเพื่อความปลอดภัยที่ใช้ในขณะทำธุรกรรมออ นไลน์ ทำให้เว็บเซอร์เวอร์สามารถเข้ารหัสหมายเลขบัตรเครดิต และข้อมูลอื่นๆ ได้ ในกรณีช่องโหว่ที่เกิดขึ้นนี้ ผู้ใช้อาจจะเริ่มต้นด้วยการทำทรานส์แอ็กชันอย่างถูกต้องกับเว็บไซต์แห่ง หนึ่ง จากนั้นถูกรีไดเร็กไปยังเว็บไซต์อีกแห่งหนึ่งโดยไม่รู้ตัว ซึ่งเป็นไซต์ปลอม ทราบอย่างนี้แล้ว เพื่อความปลอดภัยในการชอปปิ้งครั้งต่อไป รีบดาวน์โหลด แพตช์ ที่ว่ามาติดตั้งได้แล้วนะครับ
