Wednesday, February 12, 2014

ไมโครซอฟท์ออก 7 อัพเดทเพื่อแพตช์ 31 ช่องโหว่ความปลอดภัย รวมช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer และ Windows

ภารกิจอัพเดทระบบกลับมาเยือนผู้ใช้ Windows อีกครั้ง - เมื่อไมโครซอฟท์ออกอัพเดทความปลอดภัยเดือนกุมภาพันธ์ 2557 จำนวน 7 ตัว เพื่อแก้ไขช่องโหว่ความปลอดภัย 31 จุด (CVEs) ในซอฟต์แวร์ต่างๆ รวมถึงช่องโหว่ความปลอดภัยร้ายแรงวิกฤต (Critical) ใน Internet Explorer (IE) ทุกเวอร์ชัน และ VBScript บน Windows ทุกเวอร์ชันตั้งแต่ Windows XP ถึง Windows 8.1 ตามรายละเอียดด้านล่างครับ

บทสรุปสำหรับผู้บริหาร
ไมโครซอฟท์ออกอัพเดทความปลอดภัย (Security Update หรือ Patch Tuesday) เดือนกุมภาพันธ์ 2557 จำนวน 7 ตัว เพื่อโดยมี 4 อัพเดทสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน IE (มีผลกระทบร้ายแรงวิกฤตกับ IE6 ถึง IE11), VBScript บน Windows ทุกเวอร์ชัน (มีผลกระทบร้ายแรงวิกฤตกับ Windows ลูกข่าย, มีผลกระทบปานกลางบน Windows แม่ข่าย), Windows (มีผลกับ Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 และ Windows Server 2012 R2) และ Forefront Protection 2010 for Exchange Server ส่วนที่เหลือ 3 ตัวเป็นอัพเดทสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows และ .NET Framework โดยไมโครซอฟท์แนะนำให้ทำการติดตั้งอัพเดท MS14-007 (Windows Direct2D), MS14-010 (IE) และ MS14-011 (VBScript) ในทันทีที่ทำได้

รายชื่ออัพเดท ความปลอดภัยเดือนกุมภาพันธ์ 2557 มีดังต่อไปนี้
  • MS14-005: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ทำให้เกิด Information Disclosure ได้
  • MS14-006: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Denial of Service ได้
  • MS14-007: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Windows ที่ใช้ทำ Remote Code Execution ได้
  • MS14-008: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Microsoft Security Software ที่ใช้ทำ Remote Code Execution ได้
  • MS14-009: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงใน Microsoft .NET Framework ที่ใช้ทำ Elevation of Privilege ได้
  • MS14-010: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Windows, Internet Explorer ที่ใช้ทำ Remote Code Execution ได้
  • MS14-011: เพื่อปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Windows ที่ใช้ทำ Remote Code Execution ได้

Bulletin Deployment Priority (เครดิต: Microsoft)

สำหรับรายชื่อซอฟต์แวร์ที่ได้รับการอัพเดททั้งหมดสามารถอ่านได้ ที่นี่

MS14-007 (Windows Direct2D)
MS14-007 เป็นอัพเดทสำหรับแก้ปัญหาเกิดหน่วยความจำเสียจากความผิดพลาดในการประมวลรูปเรขาคณิต 2D ใน Microsoft Graphics Component หรือ Windows Direct2D ที่ทำให้เกิดช่องโหว่ความปลอดภัยที่สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้ ช่องโหว่ความปลอดภัยนี้มีหมายเลขอ้างอิงเป็น CVE-2014-0263 โดยมีผลกระทบกับ Windows 7, Windows 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 และ Windows RT 8.1

สำหรับวิธีการโจมตีนั้นแฮกเกอร์จะทำการส่งลิงค์เว็บไซต์ที่ฝังโปรแกรมอันตรายให้เหยื่อผ่านทางข้อความด่วนหรืออีเมลหากเหยื่อทำการเปิดเว็บไซต์ที่ดังกล่าวด้วย IE จะถูกโจมตีในทันที กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-007

MS14-010 (IE)
MS14-010 เป็นอัพเดทสำหรับปิดช่องโหว่ความปลอดภัย 24 จุดใน IE โดยแบ่งเป็นช่องโหว่ความปลอดภัยที่เปิดเผยรายละเอียดต่อสาธารณะ 1 จุด และไม่มีการเปิดเผยรายละเอียด 23 จุด ช่องโหว่ความปลอดภัยเหล่านี้มีผลกระทบรุนแรงวิกฤตกับ IE6 ถึง IE11ในเวอร์ชันสำหรับ Windows ลูกข่าย และมีผลกระทบปานกลางกับ IE6 ถึง IE11 ในเวอร์ชันสำหรับ Windows Server โดยช่องโหว่รุนแรงที่สุดสามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้เมื่อทำการเปิดหน้าเว็บที่มีการฝังโปรแกรมอันตรายด้วย IE กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-010

MS14-011 (VBScript)
MS14-011 เป็นอัพเดทสำหรับแก้ปัญหาเกิดหน่วยความจำเสียจากความผิดพลาดในการทำงานของ VBScript ที่ทำให้เกิดช่องโหว่ความปลอดภัยที่สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้ ช่องโหว่ความปลอดภัยนี้มีหมายเลขอ้างอิงเป็น CVE-2014-0271 โดยมีผลกระทบรุนแรงวิกฤตกับ Windows ลูกข่าย และมีผลกระทบปานกลางกับ Windows Server

สำหรับวิธีการโจมตีนั้นแฮกเกอร์จะทำการส่งลิงค์เว็บไซต์ที่ฝังโปรแกรมอันตรายให้ เหยื่อผ่านทางข้อความด่วนหรืออีเมลหากเหยื่อทำการเปิดเว็บไซต์ที่ดังกล่าวด้วย IE จะถูกโจมตีในทันที กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับ สิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-011

การออกอัพเดทและการอัพเดทระบบ
ผู้ใช้ Windows และซอฟต์แวร์ที่ได้รับผลกระทบสามารถทำการอัพเดท ผ่านทางอินเทอร์เน็ตจากเว็บไซต์ Microsoft Update หรือทำการอัพเดทผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 12 กุมภาพันธ์ 2557 เป็นต้นไป

ความเห็นของผู้เขียน
เนื่องจากปัญหาช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน IE, VBScript และ Direct2D นั้นมีผลกระทบในวงกว้าง ดังนั้นใครที่ใช้ซอฟต์แวร์ที่ได้รับผลกระทบควรทำการติดตั้งอัพเดท MS14-007 (Windows Direct2D), MS14-010 (IE) และ MS14-011 (VBScript) ในทันทีที่ทำได้ครับ

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Safer Internet Day 2014 and Our February 2014 Security Updates

Copyright © 2014 TWA Blog. All Rights Reserved.

0 Comment: