รายละเอียดเรื่องนี้ต้องย้อนกลับไปยังการออกอัปเดทความปลอดภัยเดือนตุลาคม 2556 ซึ่งในตอนแรกไมโครซอฟท์ประกาศว่ามีช่องโหว่ความปลอดภัยที่ได้รับการแก้ไขจำนวน 26 จุด โดยเป็นช่องโหว่ความปลอดภัยที่พบใน Internet Explorer, .NET Framework, Windows, Office และ Silverlight แต่ในเวลาต่อมาได้ทำการแก้ไขเป็น 25 จุด โดยตัดช่องโหว่ CVE-2013-3871 ซึ่งเป็นช่องโหว่ที่พบใน IE ออกจากรายชื่อช่องโหว่ที่ได้รับการแก้ไข
ช่องโหว่ CVE-2013-3871 นั้นเกิดจากปัญหา Memory Corruption ซึ่งทำให้เกิดช่องโหว่ที่สามารถใช้โจมตีแบบ Remote Code Execution หรือทำให้ระบบปฏิเสธการให้บริการ (denial of service) ได้ โดยมีผลกระทบกับ IE6 ถึง IE10
ไมโครซอฟท์จะชี้แจงเรื่องดังกล่าวนี้ว่าเป็นเพียงความผิดพลาดทางด้านเอกสารและไม่มีผลกระทบกับการอัปเดท แต่นั้นเท่ากับเป็นการยืนยันว่ายังคงมีช่องโหว่ความปลอดภัยใน IE ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556 และที่สำคัญ "ยังไม่มีกำหนดว่าช่องโหว่ความปลอดภัยนี้จะได้รับการแก้ไขเมื่อใด และยังไม่มีเครื่องมือสำหรับใช้ป้องกันการโจมตี"
ข้อความด้านล่างเป็นคำชี้แจงของไมโครซอฟท์
V1.3 (October 10, 2013): Bulletin revised to remove CVE-2013-3871 from the vulnerabilities addressed by this update. Including this CVE in the original security bulletin text was a documentation error. CVE-2013-3871 is scheduled to be addressed in a future security update. This is an informational change only. Customers who have already successfully updated their systems do not need to take any action.
ความเห็นผู้เขียน
สำหรับผู้ใช้ IE วิธีการที่ดีที่สุดในระหว่างรอการออกอัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัย คือ ควรใช้งานด้วยความระมัดระวัง และอัปเดทระบบ Windows และโปรแกรมแอนตี้ไวรัสให้เป็นปัจจุบันเสมอครับ
แหล่งข้อมูลอ้างอิง
The October 2013 security updates
Copyright © 2013 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment