ไมโครซอฟท์ยอมรับมีช่องโหว่ใน Internet Explorer ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556 ~ Windows Administrator Blog

Monday, October 14, 2013

ไมโครซอฟท์ยอมรับมีช่องโหว่ใน Internet Explorer ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556

By dtp 9:03:00 PM No comments

ไมโครซอฟท์ออกอัปเดทความปลอดภัยเดือนตุลาคม 2556 ทั้งหมด 8 ตัว รวมถึงอัปเดทหมายเลข MS13-080 สำหรับ ปิดช่องโหว่ความปลอดภัย 9 จุดใน Internet Explorer ทุกเวอร์ชัน อย่างไรก็ตาม ไมโครซอฟท์ได้ออกมายอมรับอย่างเป็นทางการว่ายังเหลือช่องโหว่ความปลอดภัยใน IE อีก (อย่างน้อย) หนึ่งช่องโหว่ที่ยังไม่ได้รับการแก้ไข

รายละเอียดเรื่องนี้ต้องย้อนกลับไปยังการออกอัปเดทความปลอดภัยเดือนตุลาคม 2556 ซึ่งในตอนแรกไมโครซอฟท์ประกาศว่ามีช่องโหว่ความปลอดภัยที่ได้รับการแก้ไขจำนวน 26 จุด โดยเป็นช่องโหว่ความปลอดภัยที่พบใน Internet Explorer, .NET Framework, Windows, Office และ Silverlight แต่ในเวลาต่อมาได้ทำการแก้ไขเป็น 25 จุด โดยตัดช่องโหว่ CVE-2013-3871 ซึ่งเป็นช่องโหว่ที่พบใน IE ออกจากรายชื่อช่องโหว่ที่ได้รับการแก้ไข

ช่องโหว่ CVE-2013-3871 นั้นเกิดจากปัญหา Memory Corruption ซึ่งทำให้เกิดช่องโหว่ที่สามารถใช้โจมตีแบบ Remote Code Execution หรือทำให้ระบบปฏิเสธการให้บริการ (denial of service) ได้ โดยมีผลกระทบกับ IE6 ถึง IE10

ไมโครซอฟท์จะชี้แจงเรื่องดังกล่าวนี้ว่าเป็นเพียงความผิดพลาดทางด้านเอกสารและไม่มีผลกระทบกับการอัปเดท แต่นั้นเท่ากับเป็นการยืนยันว่ายังคงมีช่องโหว่ความปลอดภัยใน IE ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556 และที่สำคัญ "ยังไม่มีกำหนดว่าช่องโหว่ความปลอดภัยนี้จะได้รับการแก้ไขเมื่อใด และยังไม่มีเครื่องมือสำหรับใช้ป้องกันการโจมตี"

ข้อความด้านล่างเป็นคำชี้แจงของไมโครซอฟท์
V1.3 (October 10, 2013): Bulletin revised to remove CVE-2013-3871 from the vulnerabilities addressed by this update. Including this CVE in the original security bulletin text was a documentation error. CVE-2013-3871 is scheduled to be addressed in a future security update. This is an informational change only. Customers who have already successfully updated their systems do not need to take any action.

ความเห็นผู้เขียน
สำหรับผู้ใช้ IE วิธีการที่ดีที่สุดในระหว่างรอการออกอัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัย คือ ควรใช้งานด้วยความระมัดระวัง และอัปเดทระบบ Windows และโปรแกรมแอนตี้ไวรัสให้เป็นปัจจุบันเสมอครับ

แหล่งข้อมูลอ้างอิง
The October 2013 security updates

Copyright © 2013 TWA Blog. All Rights Reserved.

Google Chrome Web Store is open for businessกูเกิลเปิดให้บริการ Chrome Web Store สำหรับภาคธุรกิจแล้ว หลังจากกูเกิลเปิดตัว Chrome Web Store อย่างเป็นทางการไปเมื่อวันที่ 7 ธันวาคม 2553 (ตามเวลาในประเทศไทย) พร้อมกับ Chrome OS และ Google Chrome Netbook ล่าสุดกูเกิลได้เปิดใ… Read More
Intel Core i7-970 drops in price from $942 to $605.99อินเทลลดราคาซีพียู Core i7-970 เหลือ 18,xxx บาท อัพเดทล่าสุด: 15 ก.พ. 54 - อินเทลทำการอัพเดทข้อมูลราคาซีพียูบนเว็บไซต์ Intel (Ark) เป็นราคาใหม่อย่างเป็นทางการแล้ว โดยราคาต่อการซื้อ 1 พันหน่วยของซีพียู Core i7-960 ลดลงเหลือ $2… Read More
Windows 7 Service Pack 1 (SP1) Available to Download for MSDN, TechNet and Volume License Customersไมโครซอฟท์ออก Windows 7 Service Pack 1 (SP1) ให้ลูกค้ากลุ่ม MSDN, TechNet และ Volume License แล้ว วันที่ 16 กุมภาพันธ์ 2554 ไมโครซอฟท์ได้เปิดให้ลูกค้าที่เป็นสมาชิก MSDN และ TechNet และลูกค้าในกลุ่ม Volume License (VL) ที่มีไล… Read More
Microsoft Patch Tuesday November 2010 - Fixed 11 holes in Office and Unified Access Gatewayไมโครซอฟท์ออกแพตช์ประจำเดือนพฤศจิกายนจำนวน 3 ตัว เพื่อแก้ 11 ช่องโหว่ความปลอดภัยใน Microsoft Office และ Unified Access Gateway หลังจากต้องเจองานหนักในการอัปเดทระบบติดกันถึงสามเดือน ในเดือนนี้ถือว่าเป็นงานค่อนข้างเบาของแอดมิน… Read More
Google is set to launch Chrome Web Store in OctoberGoogle เตรียมเปิดให้บริการ Chrome Web Store ในอีก 2 เดือน มีรายงานว่า Google เตรียมเปิดให้บริการ Chrome Web Store ในเดือนตุลาคมที่จะถึงนี้หรือในเวลาประมาณ 2 เดือนข้างหน้า โดย Chrome Web Store นั้นเป็นเว็บไซต์ศูนย์รวมเว็บแอพพล… Read More