Friday, December 6, 2013

ไมโครซอฟท์เตรียมปิดช่องโหว่ร้ายแรงใน IE, Windows, Exchange ใน Patch Tuesday เดือนธันวาคม, ไม่มีแพตช์ปิดช่องโหว่ไฟล์ NDProxy.sys บน Windows XP

นำมาฝากเป็นประจำทุกเดือนสำหรับซีรี่ย์การอัปเดทความปลอดภัยของไมโครซอฟท์ เดือนธันวาคม 2556 นี้การอัปเดทมาค่อนข้างเร็วแถมไมโครซอฟท์ยังจัดหนักด้วยการออกอัปเดทถึง 11 ตัว แบ่งเป็นอัปเดทสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤต 5 ตัว ที่เหลือ 6 ตัวเป็นอัปเดทสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูง โดยจะรวมอัปเดทสำหรับแก้ช่องโหว่ GDI+ (Security Advisory 2896666) แต่จะยังไม่มีอัปเดทสำหรับแก้ช่องโหว่ในไฟล์ NDProxy.sys (Security Advisory 2914486)

บทสรุปสำหรับผู้บริหาร
ไมโครซอฟท์ประกาศออกอัปเดทความปลอดภัย (Security Update หรือ Patch Tuesday) เดือนธันวาคม 2556 จำนวน 11 ตัว แบ่งเป็นอัปเดทสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงวิกฤต 5 ตัว ใน Internet Explorer, Windows, Microsoft Exchange และ GDI+ (กระทบ Windows, Office และ Lync) และอัปเดท 6 ตัวสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงใน Office, Windows และ Microsoft Developer Tools สำหรับรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับการอัปเดทนั้นสามารถอ่านได้จากเว็บไซต์ Microsoft Security Bulletin Advance Notification for December 2013

Executive Summaries (เครดิต: Microsoft)

อัปเดทสำหรับแก้ช่องโหว่ GDI+ (Security Advisory 2896666)
หลังจากปล่อยให้ผู้ใช้เผชิญกับความเสี่ยงต่อการถูกโจมตีมานานกว่า 1 เดือน ในที่สุดไมโครซอฟท์ก็พัฒนาแพตช์สำหรับแก้ช่องโหว่ GDI+ (Security Advisory 2896666) แล้วเสร็จและจะรวมอยู่ในอัปเดทความปลอดภัยเดือนธันวาคมนี้ โดยช่องโหว่ GDI+ นี้มีผลกระทบกับผู้ใช้ Windows Vista, Windows Server 2008, Office และ Lync

ไม่มีอัปเดทสำหรับแก้ช่องโหว่ในไฟล์ NDProxy.sys (Security Advisory 2914486)
ผู้ใช้ Windows XP และ Windows Server 2003 ยังต้องเสี่ยงต่อการถูกโจมตีต่อไปอีกอย่างน้อย 1 เดือน เนื่องจากไมโครซอฟท์ยังพัฒนาแพตช์สำหรับแก้ช่องโหว่ในไฟล์ NDProxy.sys ไม่แล้วเสร็จ ซึ่งช่องโหว่นี้สามารถใช้ทำการยกระดับสิทธิ์ (Elevation of Privilege หรือ EoP) ได้ โดยมีผลกระทบกับผู้ใช้ Windows XP และ Windows Server 2003

การออกอัปเดทและการอัปเดทระบบ
ไมโครซอฟท์จะออกอัปเดทเหล่านี้ในวันอังคารที่ 10 ธันวาคม 2556 (ตรงกับวันพุธที่ 11 ตามเวลาในประเทศไทย) ผู้ใช้ทั่วไปสามารถทำการอัปเดทผ่านทางอินเทอร์เน็ตจากเว็บไซต์ Microsoft Update หรือทำการอัปเดทผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 11 ธันวาคม 2556 เป็นต้นไป

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Advance Notification Service for December 2013 Security Bulletin Release

Copyright © 2013 TWA Blog. All Rights Reserved.

0 Comment: