Wednesday, May 14, 2014

ไมโครซอฟท์ออกอัปเดตปิดช่องโหว่ร้ายแรงใน Internet Explorer บน Windows ทุกเวอร์ชัน (ยกเว้น Windows XP)

14 พฤษภาคม 2557: ไมโครซอฟท์ออกอัปเดตความปลอดภัยเดือนพฤษภาคมแล้วโดยมาพร้อมกับข่าวดีและข่าวร้าย ข่าวดีคือมีอัปเดตปิดช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer (IE) แล้ว แต่ข่าวร้ายคือไม่มีอัปเดตปิดช่องโหว่ร้ายแรงใน IE บน Windows XP เนื่องจากสิ้นสุดการสนับสนุนแล้ว (อ่านเพิ่มเติม)

สรุปอัปเดตความปลอดภัยเดือนพฤษภาคม 2557
ไมโครซอฟท์ออกอัปเดตความปลอดภัย (Security Update หรือ Patch Tuesday) เดือนพฤษภาคม 2557 จำนวน 8 ตัว สำหรับปิดช่องโหว่ความปลอดภัย 13 จุด (CVEs) ที่พบใน Windows, IE, Office, Server Software (SharePoint Server, Project Server, Office Web Apps) และ .NET Framework โดยแบ่งเป็นอัปเดตสำหรับแก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤต 2 ตัว และสำหรับแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูง 6 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งอัปเดต MS14-024 (Office), MS14-025 (Windows) และ MS14-029 (IE) ในทันทีที่ทำได้

รายชื่ออัปเดตความปลอดภัยเดือนพฤษภาคม 2557 มีดังต่อไปนี้
  • MS14-022: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Server Software (SharePoint Server, Project Server, Office Web Apps) ที่ใช้ทำ Remote Code Execution ได้
  • MS14-023: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Office ที่ใช้ทำ Remote Code Execution ได้
  • MS14-024: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Office ที่ใช้ทำ Security Feature Bypass ได้
  • MS14-025: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Elevation of Privilege ได้
  • MS14-026: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows/.NET Framework ที่ใช้ทำ Elevation of Privilege ได้
  • MS14-027: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Elevation of Privilege ได้
  • MS14-028: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Denial of Service ได้
  • MS14-029: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Internet Explorer ที่ใช้ทำ Remote Code Execution ได้

สำหรับรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบนั้น สามารถอ่านได้จากเว็บไซต์ Microsoft Security TechCenter

* ไม่รวม MS14-021 (Out-of-Band) ซึ่งออกเป็นกรณีเร่งด่วนเพื่อปิดช่องโหว่ร้ายแรงใน IE เมื่อวันที่ 1 พฤษภาคม

MS14-029: Security Update for Internet Explorer (2962482)
MS14-029 เป็นอัปเดตสำหรับปิดช่องโหว่ความปลอดภัยที่ไม่มีการเปิดเผยรายละเอียด 2 จุดใน IE ช่องโหว่ความปลอดภัยเหล่านี้มีผลกระทบรุนแรงวิกฤตกับ IE6 ถึง IE11 ในเวอร์ชันสำหรับ Windows ลูกข่าย และมีผลกระทบปานกลางกับ IE6 ถึง IE11 (ยกเว้น IE10) ในเวอร์ชันสำหรับ Windows Server โดยช่องโหว่เหล่านี้สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้ เมื่อผู้ใช้ทำการเปิดหน้าเว็บที่มีการฝังโปรแกรมอันตรายด้วย IE กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับ สิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-029

การอัปเดตระบบ
ผู้ใช้ Windows และซอฟต์แวร์ที่ได้รับผลกระทบสามารถทำการอัปเดตโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (ขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการอัปเดตผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 14 พฤษภาคม 2557 เป็นต้นไป

ความเห็นของผู้เขียน
เนื่องจากปัญหาช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน IE มีผลกระทบรุนแรง ดังนั้นควรทำการติดตั้งอัปเดต MS14-029 (IE) ในทันทีที่ทำได้ และเนื่องจากไม่มีอัปเดตสำหรับ IE บน Windows XP ดังนั้นผู้ใช้มีเพียง 2 ทางเลือก คือ เลิกใช้ IE โดยเปลี่ยนไปใช้ Firefox หรือ Chrome แทน หรือไม่ก็อัปเกรดเป็น Windows เวอร์ชันที่ใหม่กว่า อย่างเช่น Windows 8.1 (อ่านรายละเอียด)

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center

Copyright © 2014 TWA Blog. All Rights Reserved.

0 Comment: