Pages - Menu

Pages - Menu

Pages

Monday, October 14, 2013

ไมโครซอฟท์ยอมรับมีช่องโหว่ใน Internet Explorer ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556

ไมโครซอฟท์ออกอัปเดทความปลอดภัยเดือนตุลาคม 2556 ทั้งหมด 8 ตัว รวมถึงอัปเดทหมายเลข MS13-080 สำหรับ ปิดช่องโหว่ความปลอดภัย 9 จุดใน Internet Explorer ทุกเวอร์ชัน อย่างไรก็ตาม ไมโครซอฟท์ได้ออกมายอมรับอย่างเป็นทางการว่ายังเหลือช่องโหว่ความปลอดภัยใน IE อีก (อย่างน้อย) หนึ่งช่องโหว่ที่ยังไม่ได้รับการแก้ไข


รายละเอียดเรื่องนี้ต้องย้อนกลับไปยังการออกอัปเดทความปลอดภัยเดือนตุลาคม 2556 ซึ่งในตอนแรกไมโครซอฟท์ประกาศว่ามีช่องโหว่ความปลอดภัยที่ได้รับการแก้ไขจำนวน 26 จุด โดยเป็นช่องโหว่ความปลอดภัยที่พบใน Internet Explorer, .NET Framework, Windows, Office และ Silverlight แต่ในเวลาต่อมาได้ทำการแก้ไขเป็น 25 จุด โดยตัดช่องโหว่ CVE-2013-3871 ซึ่งเป็นช่องโหว่ที่พบใน IE ออกจากรายชื่อช่องโหว่ที่ได้รับการแก้ไข

ช่องโหว่ CVE-2013-3871 นั้นเกิดจากปัญหา Memory Corruption ซึ่งทำให้เกิดช่องโหว่ที่สามารถใช้โจมตีแบบ Remote Code Execution หรือทำให้ระบบปฏิเสธการให้บริการ (denial of service) ได้ โดยมีผลกระทบกับ IE6 ถึง IE10

ไมโครซอฟท์จะชี้แจงเรื่องดังกล่าวนี้ว่าเป็นเพียงความผิดพลาดทางด้านเอกสารและไม่มีผลกระทบกับการอัปเดท แต่นั้นเท่ากับเป็นการยืนยันว่ายังคงมีช่องโหว่ความปลอดภัยใน IE ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556 และที่สำคัญ "ยังไม่มีกำหนดว่าช่องโหว่ความปลอดภัยนี้จะได้รับการแก้ไขเมื่อใด และยังไม่มีเครื่องมือสำหรับใช้ป้องกันการโจมตี"

ข้อความด้านล่างเป็นคำชี้แจงของไมโครซอฟท์
V1.3 (October 10, 2013): Bulletin revised to remove CVE-2013-3871 from the vulnerabilities addressed by this update. Including this CVE in the original security bulletin text was a documentation error. CVE-2013-3871 is scheduled to be addressed in a future security update. This is an informational change only. Customers who have already successfully updated their systems do not need to take any action.

ความเห็นผู้เขียน
สำหรับผู้ใช้ IE วิธีการที่ดีที่สุดในระหว่างรอการออกอัปเดทเพื่อแก้ไขช่องโหว่ความปลอดภัย คือ ควรใช้งานด้วยความระมัดระวัง และอัปเดทระบบ Windows และโปรแกรมแอนตี้ไวรัสให้เป็นปัจจุบันเสมอครับ

แหล่งข้อมูลอ้างอิง
The October 2013 security updates

Copyright © 2013 TWA Blog. All Rights Reserved.

No comments:

Post a Comment

เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML