Monday, January 14, 2013

ไมโครซอฟท์จะออกแพตช์เพื่อแก้ช่องโหว่ Zero-Day ใน Internet Explorer 8 และเก่ากว่า ในวันที่ 14 มกราคม 2556

15 มกราคม 2556: ไมโครซอฟท์ออกอัปเดท MS13-008 แก้ช่องโหว่ 0-day ใน IE8 และเก่ากว่า แล้ว

ไมโครซอฟท์ประกาศออกแพตช์ (Patch) เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ความปลอดภัย Zero-Day ที่มีความรุนแรงวิกฤตในที่พบใน Internet Explorer 6, Internet Explorer 7 และ Internet Explorer 8 ในวันจันทร์ที่ 14 มกราคม 2556 (ตามเวลาในสหรัฐอเมริกา) โดยช่องโหว่นี้สามารถใช้โจมตีระบบจากระยะไกล (Remote Code Execution) ได้และมีผลกระทบกับ Windows ทุกเวอร์ชันที่สนับสนุน

สำหรับช่องโหว่ความปลอดภัยที่จะได้รับการแก้ไขเป็นช่องโหว่ use-after-free (CVE-2012-4792) ที่เกิดในฟังก์ชัน mshtml!CElement::FindDefaultElem ในไฟล์ mshtml_shim32.sdb สำหรับ Windows 32-บิท (mshtml_shim64.sdb สำหรับ Windows 64-บิท) ที่สามารถใช้ทำการรันโปรแกรมเพื่อโจมตีระบบจากระยะไกลได้ อ่านรายละเอียดเพิ่มเติมได้ที่ Microsoft Security Advisory (2794220)

ทั้งนี้ ปัจจุบันมีการเผยแพร่โปรแกรมสำหรับใช้โจมตีบนอินเทอร์เน็ตและมีรายงานการโจมตีผู้ใช้เกิดขึ้นแล้ว โดยก่อนหน้านี้ไมโครซอฟท์ออกเครื่องมือ Fix it สำหรับป้องกันการโจมตีเป็นการชั่วคราว รายละเอียด


หมายเหตุ: Internet Explorer 9 และ Internet Explorer 10 ไม่ได้รับผลกระทบจากช่องโหว่ความปลอดภัยนี้

ความเห็นของผู้เขียน
เนื่องจากช่อโหว่ที่จะได้รับการแก้ไขในครั้งนี้มีผลกระทบในวงกว้างและมีความรุนแรงสูง ดังนั้น เพื่อความปลอดภัย แนะนำให้ผู้ใช้ Internet Explorer 8 และเวอร์ชันอื่นๆ ที่ได้รับผลกระทบทำการติดตั้งอัปเดทในทันทีที่ทำได้ โดยสามารถทำการอัปเดทผ่านทางอินเทอร์เน็ตจากเว็บไซต์ Microsoft Update หรือทำการอัปเดทผ่านทางเซิร์ฟเวอร์ WSUS สำหรับผู้ใช้แบบองค์กรที่มีการติดตั้งระบบ Windows Server Update Services ทั้งนี้ ตั้งแต่วันที่ 14 มกราคม 2556 เป็นต้นไป

เรื่องที่เกี่ยวข้อง
ไมโครซอฟท์แพตช์ช่องโหว่ความปลอดภัยวิกฤตใน Windows ทุกเวอร์ชัน

บทความโดย: TWA Blog

แหล่งข้อมูลอ้างอิง
Microsoft Security Response Center

Copyright © 2013 TWA Blog. All Rights Reserved.

0 Comment: