Thursday, September 10, 2015

Microsoft Security Update กันยายน 2558: ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, IE และ Microsoft Edge

ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนกันยายน 2558 จำนวน 12 ตัว สำหรับปิดช่องโหว่ร้ายแรงสูงสุดใน Windows (มีผลกับทั้งเวอร์ชันลูกข่ายและเซิร์ฟเวอร์) IE และ Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้

สรุปอัปเดตความปลอดภัยเดือนกันยายน 2558
ไมโครซอฟท์ออกอัปเดตความปลอดภัยเดือนกันยายนจำนวน 12 ตัว สำหรับปรับปรุงช่องโหว่ความปลอดภัย (CVEs) 56 จุด (นับจากที่ไมโครซอฟท์ระบุไว้ในรายละเอียดของอัปเดตแต่ละตัว) ที่พบใน Windows, IE, Edge, Office, .NET Framework, SharePoint, Exchange Server และ Skype for Business Server/Lync Server แบ่งเป็นอัปเดตสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงสุดจำนวน 5 ตัว และอัปเดตสำหรับแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงจำนวน 7 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งอัปเดตทั้งหมดในทันทีที่ทำได้

สำหรับรายชื่ออัปเดตความปลอดภัยเดือนกันยายน 2558 มีดังต่อไปนี้
  • MS15-094: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS15-095: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS15-096: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Denial of Service ได้
  • MS15-097: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows/Office/Lync ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS15-098: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS15-099: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Office/SharePoint ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้*
  • MS15-100: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows Media Player ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS15-101: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน .NET Framework ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS15-102: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS15-103: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน  Exchange Server ที่ทำให้เกิด Information Disclosure ได้
  • MS15-104: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Skype for Business Server/Lync Server ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS15-105: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Security Feature Bypass ได้

Security Bulletin September 2015 (เครดิต: Microsoft)

สำหรับรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบนั้น สามารถอ่านได้จากเว็บไซต์ Microsoft

*MS15-099
แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน
  • Office 2007
  • Office 2010
  • Office 2013
  • Office 2013 RT

แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน
  • Excel for Mac 2011
  • Excel for Mac 2016
  • SharePoint Foundation 2013, SharePoint Server 2013

การอัปเดตระบบ
ผู้ใช้ Windows สามารถทำการอัปเดตโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (วิธีการทำจะขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการอัปเดตผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 9 กันยายน 2558 (ตามเวลาในประเทศไทย) เป็นต้นไป

ความเห็นของผู้เขียน
ถึงแม้ว่าไมโครซอฟท์จะแนะนำให้ผู้ใช้ Windows ทำการติดตั้งอัปเดตทุกตัวในทันทีที่ทำได้ อย่างไรก็ตาม ผมขอแนะนำแอดมินที่รับผิดชอบการติดตั้งอัปเดตให้ทดลองติดตั้งบนเครื่องทดสอบให้แน่ใจก่อนว่าไม่มีปัญหา Windows เสียจากบั๊กของอัปเดต แล้วจากนั้นจึงค่อยปรับใช้บนเครื่องที่ใช้งานจริงครับ

หมายเหตุ: ตั้งแต่เดือนมกราคม 2558 เป็นต้นมาไมโครซอฟท์จะแจ้งรายละเอียดการออกอัปเดตล่วงหน้าหรือ Advance Notification Service (ANS) ให้เฉพาะลูกค้าพรีเมียร์และบริษัทที่เข้าร่วมโปรแกรมความปลอดภัยเท่านั้น อ่านรายละเอียด

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center

Copyright © 2015 TWA Blog. All Rights Reserved.