15 มกราคม 2556: ไมโครซอฟท์ออกอัปเดท MS13-008 แก้ช่องโหว่ 0-day ใน IE8 และเก่ากว่า แล้ว
ไมโครซอฟท์ประกาศออกแพตช์ (Patch) เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ความปลอดภัย Zero-Day ที่มีความรุนแรงวิกฤตในที่พบใน Internet Explorer 6, Internet Explorer 7 และ Internet Explorer 8 ในวันจันทร์ที่ 14 มกราคม 2556 (ตามเวลาในสหรัฐอเมริกา) โดยช่องโหว่นี้สามารถใช้โจมตีระบบจากระยะไกล (Remote Code Execution) ได้และมีผลกระทบกับ Windows ทุกเวอร์ชันที่สนับสนุน
สำหรับช่องโหว่ความปลอดภัยที่จะได้รับการแก้ไขเป็นช่องโหว่ use-after-free (CVE-2012-4792) ที่เกิดในฟังก์ชัน mshtml!CElement::FindDefaultElem ในไฟล์ mshtml_shim32.sdb สำหรับ Windows 32-บิท (mshtml_shim64.sdb สำหรับ Windows 64-บิท) ที่สามารถใช้ทำการรันโปรแกรมเพื่อโจมตีระบบจากระยะไกลได้ อ่านรายละเอียดเพิ่มเติมได้ที่ Microsoft Security Advisory (2794220)
ทั้งนี้ ปัจจุบันมีการเผยแพร่โปรแกรมสำหรับใช้โจมตีบนอินเทอร์เน็ตและมีรายงานการโจมตีผู้ใช้เกิดขึ้นแล้ว โดยก่อนหน้านี้ไมโครซอฟท์ออกเครื่องมือ Fix it สำหรับป้องกันการโจมตีเป็นการชั่วคราว รายละเอียด
หมายเหตุ: Internet Explorer 9 และ Internet Explorer 10 ไม่ได้รับผลกระทบจากช่องโหว่ความปลอดภัยนี้
ความเห็นของผู้เขียน
เนื่องจากช่อโหว่ที่จะได้รับการแก้ไขในครั้งนี้มีผลกระทบในวงกว้างและมีความรุนแรงสูง ดังนั้น เพื่อความปลอดภัย แนะนำให้ผู้ใช้ Internet Explorer 8 และเวอร์ชันอื่นๆ ที่ได้รับผลกระทบทำการติดตั้งอัปเดทในทันทีที่ทำได้ โดยสามารถทำการอัปเดทผ่านทางอินเทอร์เน็ตจากเว็บไซต์ Microsoft Update
หรือทำการอัปเดทผ่านทางเซิร์ฟเวอร์ WSUS
สำหรับผู้ใช้แบบองค์กรที่มีการติดตั้งระบบ Windows Server Update Services
ทั้งนี้ ตั้งแต่วันที่ 14 มกราคม 2556 เป็นต้นไป
เรื่องที่เกี่ยวข้อง
ไมโครซอฟท์แพตช์ช่องโหว่ความปลอดภัยวิกฤตใน Windows ทุกเวอร์ชัน
บทความโดย: TWA Blog
แหล่งข้อมูลอ้างอิง
Microsoft Security Response Center
Copyright © 2013 TWA Blog. All Rights Reserved.
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML