ไมโครซอฟท์ออกอัปเดต MS15-093 (Out-of-Band) ปิดช่องโหว่ร้ายแรงสูงสุดใน Internet Explorer ทุกเวอร์ชัน ~ Windows Administrator Blog

Wednesday, August 19, 2015

ไมโครซอฟท์ออกอัปเดต MS15-093 (Out-of-Band) ปิดช่องโหว่ร้ายแรงสูงสุดใน Internet Explorer ทุกเวอร์ชัน

By dtp 10:18:00 AM

ไมโครซอฟท์ออกอัปเดตหมายเลข MS14-021 เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ Memory Corruption ที่มีผลกระทบรุนแรงสูงสุดใน Internet Explorer (IE) ตั้งแต่เวอร์ชัน IE7 ถึง IE11 บน Windows ลูกข่ายซึ่งรวมถึง Windows 10 และมีผลกระทบปานกลางกับ IE7 ถึง IE11 บน Windows Server* ซึ่งแฮกเกอร์สามารถใช้เข้ายึดหรือควบคุมเครื่องคอมพิวเตอร์ได้ซึ่งมีรายงานการโจมตี (ในวงจำกัด) ผู้ใช้ผ่านทางช่องโหว่นี้เกิดขึ้นแล้ว

หมายเหตุ: Windows Server 2016 Technical Preview ไม่ได้รับผลกระทบจากช่องโหว่นี้

MS15-093 เป็นอัปเดตสำหรับปิดช่องโหว่ความปลอดภัย Memory Corruption (หมายเลขอ้างอิง CVE-2015-2502) ที่ทำให้ IE จัดการ objects ในหน่วยความจำผิดพลาดทำให้เกิดช่องโหว่ที่สามารถใช้ทำการรันมัลแวร์เพื่อโจมตีระบบจากระยะไกล (Remote Code Execution) ได้ แต่เนื่องจากโจมตีจะเกิดขึ้นต่อเมื่อผู้ใช้เปิดเว็บไซต์ที่ฝังโปรแกรมอันตราย** ด้วยโปรแกรม IE ซึ่งโดยทั่วไปแล้วแฮกเกอร์จะใช้วิธีการส่งลิงค์เว็บไซต์ที่ฝังโปรแกรมอันตรายให้เหยื่อผ่านทางข้อความด่วนหรืออีเมลหากเหยื่อทำการเปิดเว็บไซต์ดังกล่าวด้วย IE จะทำให้ถูกโจมตีในทันที กรณีที่การโจมตีประสบความสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี (ผู้ใช้มาตรฐานจะมีผลกระทบน้อยกว่าผู้ดูแลระบบ)

ความอันตรายของช่องโหว่นี้คือ ถ้าการโจมตีประสบความสำเร็จในขณะที่เหยื่อกำลังล็อกอินด้วยบัญชีผู้ดูแลระบบ ผู้โจมตีจะสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ได้อย่างสมบูรณ์ (ได้รับสิทธิ์ผู้ดูแลระบบหรือ Administrators) นั่นหมายความว่าผู้โจมตีสามารถติดตั้งโปรแกรม ดู แก้ไข หรือลบข้อมูล หรือแม้แต่สร้างบัญชีผู้ใช้ใหม่โดยที่เหยื่อไม่รู้ตัว

**แฮกเกอร์จอาจใช้ประโยชน์จากเว็บไซต์ที่มีช่องโหว่ที่ยังไม่ได้แพตช์ หรือเว็บไซต์ที่ยอมรับ user-provided content หรือ advertisements ในการฝังโปรแกรมอันตรายลงในเว็บไซต์

การอัปเดตระบบ
ผู้ใช้ Windows สามารถทำการอัปเดตโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (ขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือดาวน์โหลดหรือจากทำการอัปเดตผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 19 สิงหาคม 2558 (ตามเวลาในประเทศไทย) เป็นต้นไป

แหล่งข้อมูลอ้างอิง
MS15-093: Security update for Internet Explorer: August 18, 2015

Copyright © 2015 TWA Blog. All Rights Reserved.

Adobe ออก Flash Player 23.0.0.162 เพื่อปิดช่องโหว่ร้ายแรงสูงสุด กระทบ Firefox, Chrome, IE และ Edge[13 กันยายน 2559] Adobe อัปเดต Flash Player เป็นเวอร์ชัน 23.0.0.162 สำหรับ Windows และ Mac และเวอร์ชัน 11.2.202.635 สำหรับ Linux เพื่อแพตช์ 26 ช่องโหว่ความปลอดภัยรุนแรงสูงสุด ( Critical) ที่สามารถใช้เป็นช่องทางในการโจมตีเพื่อ… Read More
Adobe ออก Flash Player 23.0.0.207 เพื่อปิดช่องโหว่ร้ายแรงสูงสุด กระทบ Firefox, Chrome, IE และ Edge Adobe อัปเดต Flash Player เป็นเวอร์ชัน 23.0.0.207 สำหรับ Windows และ Mac และเวอร์ชัน 11.2.202.644 สำหรับ Linux เพื่อแพตช์ 9 ช่องโหว่ความปลอดภัยรุนแรงสูงสุด ( Critical) ที่สามารถใช้เป็นช่องทางในการโจมตีเพื่อยึดหรือควบคุมระบบได… Read More
Adobe ออก Flash Player 24.0.0.194 เพื่อปิดช่องโหว่ร้ายแรงสูงสุดAdobe อัปเดต Flash Player เป็นเวอร์ชัน 24.0.0.194 สำหรับ Windows, Mac, Chrome OS และ Linux เพื่อแพตช์ 13 ช่องโหว่ความปลอดภัยรุนแรงสูงสุด ( Critical) ที่สามารถใช้เป็นช่องทางในการโจมตีเพื่อยึดหรือควบคุมระบบได้ สำหรับช่องโหว่ท… Read More
Adobe ออก Flash Player 23.0.0.205 แพตช์ช่องโหว่ CVE-2016-7855 ที่แฮกเกอร์ใช้โจมตีผู้ใช้แล้ว[26 ตุลาคม 2559 ตามเวลาในสหรัฐอเมริกา] Adobe ออก Flash Player 23.0.0.205 เพื่อแพตช์ช่องโหว่ความปลอดภัย CVE-2016-4171 ที่มีผลกระทบรุนแรงระดับ Critical ซึ่งมีรายงานว่าถูกแฮกเกอร์ใช้โจมตี (ในวงจำกัด) ผู้ใช้แล้ว สำหรับช่องโหว่ C… Read More
Adobe ออก Flash Player 24.0.0.221 เพื่อปิดช่องโหว่ร้ายแรงสูงสุดAdobe อัปเดต Flash Player เป็นเวอร์ชัน 24.0.0.221 สำหรับ Windows, Mac, Chrome OS และ Linux เพื่อแพตช์ 13 ช่องโหว่ความปลอดภัยรุนแรงสูงสุด ( Critical) ที่สามารถใช้เป็นช่องทางในการโจมตีเพื่อยึดหรือควบคุมระบบได้ สำหรับช่องโหว่ที… Read More