ไมโครซอฟท์ปิดช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer และ Windows

ภารกิจอัปเดทระบบกลับมาอีกครั้ง โดยในเดือนมีนาคม 2557 นี้ ไมโครซอฟท์ออกอัปเดทความปลอดภัยจำนวน 5 ตัว เพื่อปิดช่องโหว่ความปลอดภัย 23 จุด (CVEs) ในซอฟต์แวร์ต่างๆ รวมถึงช่องโหว่ความปลอดภัย Zero-Day ใน Internet Explorer (IE) ตามรายละเอียดด้านล่างครับ

บทสรุปสำหรับผู้บริหาร
ไมโครซอฟท์ออกอัปเดทความปลอดภัย (Security Update หรือ Patch Tuesday) เดือนมีนาคม 2557 จำนวน 5 ตัว สำหรับปิดช่องโหว่ความปลอดภัย 23 จุดที่พบใน IE, Windows และ Silverlight โดยมี 2 อัปเดทสำหรับปิดช่องโหว่ความปลอดภัยร้ายแรงวิกฤต ส่วนที่เหลือ 3 ตัวเป็นอัปเดทสำหรับปิดช่องโหว่ความปลอดภัยร้ายแรงสูง โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งอัปเดท MS14-012 (IE) ในทันทีที่ทำได้

รายชื่ออัปเดทความปลอดภัยเดือนมีนาคม 2557 มีดังต่อไปนี้

• MS14-012: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Windows, Internet Explorer ที่ใช้ทำ Remote Code Execution ได้
• MS14-013: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Windows ที่ใช้ทำ Remote Code Execution ได้
• MS14-014: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Silverlight ที่ใช้ทำ Security Feature Bypass ได้
• MS14-015: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Elevation of Privilege ได้
• MS14-016: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงในWindows ที่ใช้ทำ Security Feature Bypass ได้

Bulletin Deployment Priority (เครดิต: Microsoft)

สำหรับรายชื่อซอฟต์แวร์ทั้งหมดที่ได้รับการอัปเดทนั้นสามารถอ่านได้จากเว็บไซต์ Microsoft

MS14-012 (IE)
MS14-012 เป็นอัปเดทสำหรับปิดช่องโหว่ความปลอดภัย 18 จุดใน IE โดยแบ่งเป็นช่องโหว่ความปลอดภัยที่เปิดเผยรายละเอียดต่อสาธารณะ 1 จุด และไม่มีการเปิดเผยรายละเอียด 17 จุด (รวมถึงช่องโหว่ CVE-2014-0322) ช่องโหว่ความปลอดภัยเหล่านี้มีผลกระทบรุนแรงวิกฤตกับ IE6 ถึง IE11ในเวอร์ชันสำหรับ Windows ลูกข่าย และมีผลกระทบปานกลางกับ IE6 ถึง IE11 ในเวอร์ชันสำหรับ Windows Server โดยช่องโหว่เหล่านี้สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้เมื่อผู้ใช้ทำการเปิดหน้าเว็บที่มีการฝังโปรแกรมอันตรายด้วย IE กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับ สิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-012

การออกอัปเดทและการอัปเดทระบบ
ผู้ใช้ Windows และซอฟต์แวร์ที่ได้รับผลกระทบสามารถทำการอัปเดทผ่านทางอินเทอร์เน็ตจากเว็บไซต์ Microsoft Update หรือทำการอัปเดทผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 12 มีนาคม 2557 เป็นต้นไป

ความเห็นของผู้เขียน
เนื่องจากปัญหาช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน IE นั้นมีผลกระทบในวงกว้าง ดังนั้นใครที่ใช้ซอฟต์แวร์ที่ได้รับผลกระทบควรทำการติดตั้งอัปเดท MS14-012 (IE) ในทันทีที่ทำได้ครับ

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center

Copyright © 2014 TWA Blog. All Rights Reserved.