Pages - Menu

Pages - Menu

Pages

Wednesday, April 9, 2014

ไมโครซอฟท์ออกอัปเดทปิดช่องโหว่ความปลอดภัยร้ายแรงใน Word และ Internet Explorer

เมษายน 2557 เป็นเดือนที่มีความเปลี่ยนแปลงหลายอย่างเกิดขึ้นกับผู้ใช้ Windows เริ่มต้นด้วยการสิ้นสุดการสนับสนุน Windows XP และตามมาด้วยการออก Windows 8.1 Update และที่ลืมไม่ได้คือการอัปเดทความปลอดภัยซึ่งเดือนนี้มีการออกอัปเดท 4 ตัว เพื่อปิดช่องโหว่ความปลอดภัยในซอฟต์แวร์ต่างๆ ซึ่งรวมถึงช่องโหว่ความปลอดภัย Zero-Day ใน Word นอกจากนี้ยังมีการออกอัปเดท Flash Player สำหรับ Internet Explorer  10 (IE10) และ Internet Explorer  11 (IE11) อีกด้วย (อ่านรายละเอียด)

บทสรุปสำหรับผู้บริหาร
ไมโครซอฟท์ออกอัปเดทความปลอดภัย (Security Update หรือ Patch Tuesday) เดือนเมษายน 2557 จำนวน 4 ตัว สำหรับปิดช่องโหว่ความปลอดภัย 11 จุด (CVEs) ที่พบใน Windows, Office และ IE โดยมี 2 อัปเดทสำหรับปิดช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Word และ IE ส่วนที่เหลือ 2 ตัวเป็นอัปเดทสำหรับปิดช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows และ Publisher โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งอัปเดท MS14-018 (IE) ในทันทีที่ทำได้

รายชื่ออัปเดทความปลอดภัยเดือนเมษายน 2557 มีดังต่อไปนี้
  • MS14-017: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Word ที่ใช้ทำ Remote Code Execution ได้
  • MS14-018: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน Internet Explorer ที่ใช้ทำ Remote Code Execution ได้
  • MS14-019: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Remote Code Execution ได้
  • MS14-020: เพื่อแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Publisher ที่ใช้ทำ Remote Code Execution ได้

Bulletin Deployment Priority (เครดิต: Microsoft)

สำหรับรายชื่อซอฟต์แวร์ทั้งหมดที่ได้รับการอัปเดทนั้นสามารถอ่านได้จากเว็บไซต์ Microsoft

MS14-018 (IE)
MS14-018 เป็นอัปเดทสำหรับปิดช่องโหว่ความปลอดภัยที่ไม่มีการเปิดเผยรายละเอียด 6 จุดใน IE ช่องโหว่ความปลอดภัยเหล่านี้มีผลกระทบรุนแรงวิกฤตกับ IE6 ถึง IE11(ยกเว้น IE10) ในเวอร์ชันสำหรับ Windows ลูกข่าย และมีผลกระทบปานกลางกับ IE6 ถึง IE11 (ยกเว้น IE10) ในเวอร์ชันสำหรับ Windows Server โดยช่องโหว่เหล่านี้สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้ เมื่อผู้ใช้ทำการเปิดหน้าเว็บที่มีการฝังโปรแกรมอันตรายด้วย IE กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับ สิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-018

MS14-017 (Word)
MS14-017 เป็นอัปเดทสำหรับปิดช่องโหว่ความปลอดภัย 3 จุดใน Word โดยแบ่งเป็นช่องโหว่ความปลอดภัยที่เปิดเผยรายละเอียดต่อสาธารณะ 1 จุด และไม่มีการเปิดเผยรายละเอียด 2 จุด ช่องโหว่ความปลอดภัยเหล่านี้มีผลกระทบรุนแรงวิกฤตกับโปรแกรม Word ตั้งแต่เวอร์ชัน 2003 ถึงเวอร์ชัน 2013 รวมถึง 2013 RT, Word Viewer และ Office for Mac 2011 และโปรแกรม Outlook ตั้งแต่เวอร์ชัน 2007 ถึง 2013 โดยช่องโหว่เหล่านี้สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกลได้ เมื่อผู้ใช้ทำการเปิดหน้าไฟล์ RTF ที่มีการฝังโปรแกรมอันตรายด้วย Word เวอร์ชันที่ได้รับผลกระทบ กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับ สิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี อ่านรายละเอียดเพิ่มเติมที่ MS14-017

การออกอัปเดทและการอัปเดทระบบ
ผู้ใช้ Windows และซอฟต์แวร์ที่ได้รับผลกระทบสามารถทำการอัปเดทผ่านทางอินเทอร์เน็ตจากเว็บไซต์ Microsoft Update หรือทำการอัปเดทผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 9 เมษายน 2557 เป็นต้นไป

ความเห็นของผู้เขียน
เนื่องจากปัญหาช่องโหว่ความปลอดภัยร้ายแรงวิกฤตใน IE และ Word นั้นมีผลกระทบรุนแรง ดังนั้นใครที่ใช้ซอฟต์แวร์ทั้ง 2 ตัวนี้ควรทำการติดตั้งอัปเดท MS14-018 (IE) และ MS14-017 (Word) ในทันทีที่ทำได้ครับ

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center

Copyright © 2014 TWA Blog. All Rights Reserved.

No comments:

Post a Comment

เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML