Thursday, February 13, 2014

ไมโครซอฟท์ปิดช่องโหว่ความปลอดภัยร้ายแรง 24 จุดใน Internet Explorer ทุกเวอร์ชัน

ถึงตอนนี้คิดว่าหลายท่านคงทำการติดตั้ง อัพเดทความปลอดภัยเดือนกุมภาพันธ์ 2557 ของไมโครซอฟท์กันเรียบร้อยแล้ว สำหรับใครที่ยังไม่ได้ติดตั้งผมแนะนำให้รีบดำเนินการในทันที โดยเฉพาะอย่างยิ่งอัพเดท MS14-010 ซึ่งออกมาเพื่อปิดช่องโหว่ความปลอดภัยร้ายแรง 24 จุดใน Internet Explorer (IE) โดยมีผลกระทบร้ายแรงวิกฤตกับ IE6 ถึง IE11ในเวอร์ชันสำหรับ Windows ลูกข่าย และมีผลกระทบปานกลางกับ IE6 ถึง IE11 ในเวอร์ชันสำหรับ Windows Server

อัพเดท MS14-010 นั้นจะทำการปิดช่องโหว่ความปลอดภัยร้ายแรงใน IE ถึง 24 จุด เป็นช่องโหว่ความปลอดภัยที่เปิดเผยรายละเอียดต่อสาธารณะ 1 จุด และไม่มีการเปิดเผยรายละเอียด 23 จุด แบ่งประเภทได้เป็นช่องโหว่ Memory Corruption 21 จุด, ช่องโหว่ Elevation of Privilege 1 จุด, ช่องโหว่ VBScript Memory Corruption 1 จุด และช่องโหว่ Internet Explorer Cross-domain Information Disclosure อีก 1 จุด โดยช่องโหว่รุนแรงที่สุดสามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกล (Remote Code Execution) ได้ แต่เนื่องจากโจมตีจะเกิดขึ้นต่อเมื่อผู้ใช้เปิดเว็บไซต์ที่ฝังโปรแกรมอันตรายด้วยโปรแกรม Internet Explorer (IE) ซึ่งโดยทั่วไปแล้วแฮกเกอร์จะใช้วิธีการส่งลิงค์เว็บไซต์ที่ฝังโปรแกรมอันตรายให้เหยื่อผ่านทางข้อความด่วนหรืออีเมลหากเหยื่อทำการเปิดเว็บไซต์ที่ดังกล่าวด้วย IE จะทำให้ถูกโจมตีในทันที กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี โดย MS14-010 เป็นส่วนหนึ่งของ การอัพเดทความปลอดภัยเดือนกุมภาพันธ์ 2557

สำหรับรายชื่อช่องโหว่ความปลอดภัยที่ได้รับการปิดในอัพเดท MS14-010 มีดังต่อไปนี้
  • Internet Explorer Elevation of Privilege Vulnerability - CVE-2014-0268
  • VBScript Memory Corruption Vulnerability - CVE-2014-0271
  • Internet Explorer Cross-domain Information Disclosure Vulnerability - CVE-2014-0293
  • Internet Explorer Memory Corruption Vulnerability: CVE-2014-0267, CVE-2014-0269, CVE-2014-0270, CVE-2014-0272, CVE-2014-0273, CVE-2014-0274, CVE-2014-0275, CVE-2014-0276, CVE-2014-0277, CVE-2014-0278, CVE-2014-0279, CVE-2014-0280, CVE-2014-0281, CVE-2014-0283, CVE-2014-0284, CVE-2014-0285, CVE-2014-0286, CVE-2014-0287, CVE-2014-0288, CVE-2014-0289, CVE-2014-0290

วิธีการอัพเดท Internet Explorer
ผู้ใช้ IE9 และ IE10 บน Windows 7 และ Windows Server 2008 R2 ให้คลิกปุ่ม Start จากนั้นคลิก All Programs แล้วคลิก Windows Update จากนั้นคลิก Check for updates แล้วดำเนินการตามคำสั่งบนจอ หลังติดตั้งเสร็จให้ทำการรีสตาร์ทคอมพิวเตอร์เพื่อให้การอัพเดทเสร็จสมบูรณ์ สำหรับ IE10 บน Windows 7 หลังอัพเดทหมายเลขเวอร์ชันจะเปลี่ยนเป็น Version: 10.0.13 (KB2909921) ดังรูปด้านล่าง

Internet Explorer 10.0.13 บน Windows 7

สำหรับผู้ใช้ IE10 บน Windows 8 ให้คลิกขวาบริเวณมุมจอด้านซ้ายล่างจากนั้นคลิก Control Panel (มุมมองแบบ Large icons หรือ Small icons) แล้วคลิก Windows Update จากนั้นคลิก Check for updates แล้วดำเนินการตามคำสั่งบนจอ โดยหลังการอัพเดทหมายเลขเวอร์ชันของ IE10 บน Windows 8 จะเปลี่ยนเป็น Version: 10.0.13 (KB2909921) ดังรูปด้านล่าง

Internet Explorer 10.0.13 บน Windows 8

สำหรับผู้ใช้ IE11 บน Windows 8.1 ให้คลิกขวาบริเวณมุมจอด้านซ้ายล่างจากนั้นคลิก Control Panel (มุมมองแบบ Large icons หรือ Small icons) แล้วคลิก Windows Update จากนั้นคลิก Check for updates แล้วดำเนินการตามคำสั่งบนจอ โดยหลังการอัพเดทหมายเลขเวอร์ชันของ IE11 จะเปลี่ยนเป็น Version: 11.0.3 (KB2909921) ดังรูปด้านล่าง

Internet Explorer 11.0.3 บน Windows 8.1

สำหรับผู้ใช้ IE เวอร์ชันอื่นๆ สามารถดาวน์โหลดไฟล์อัพเดทแบบออฟไลน์ได้จากเว็บไซต์ Microsoft Download Center (เลือกดาวน์โหลดให้เหมาะสมกับเวอร์ชันของ IE และ Windows)

หมายเหตุ: วิธีการดูหมายเลขเวอร์ชันของ IE9/IE10/IE11 ให้คลิก Help (ในกรณีมีการแสดงเมนู) หรือคลิกไอคอนเครื่องมือ (รูปเฟือง) แล้วเลือก About Internet Explorer

แหล่งข้อมูลอ้างอิง
IE Blog
MS14-010 (KB2909921)

Copyright © 2014 TWA Blog. All Rights Reserved.

0 Comment: