Pages - Menu

Pages - Menu

Pages

Wednesday, January 13, 2016

Microsoft Security Update มกราคม 2559: ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, IE/Edge, Office และ Exchange

ปีเก่า (2558) ผ่านไปปีใหม่ (2559) เข้ามา ก็ขอให้ผู้อ่านทุกท่านประสบแต่ความสุขกาย สบายใจ ตลอดปีและตลอดไปนะครับ

สำหรับการอัพเดทระบบในเดือนแรกของปี 2559 นี้ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) จำนวน 9 ตัว* สำหรับปรับปรุงช่องโหว่ร้ายแรงสูงสุดจำนวน 6 ตัว และปรับปรุงช่องโหว่ร้ายแรงสูงจำนวน 3 ตัว รายละเอียดดังนี้

สรุปอัปเดตความปลอดภัยเดือนมกราคม 2559
ไมโครซอฟท์ออกอัปเดตความปลอดภัยเดือนมกราคมจำนวน 9 ตัว สำหรับปรับปรุงช่องโหว่ความปลอดภัย (CVEs) 24 จุด (ผมนับจากที่ไมโครซอฟท์ระบุไว้ในรายละเอียดของอัปเดตแต่ละตัว-ซึ่งอาจจะมีความคลาดเคลื่อนจากจำนวนที่แท้จริงได้) ที่พบใน Windows, IE, Edge, Office, Exchange Server และ Silverlight แบ่งเป็นอัปเดตสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูงสุด 6 ตัว และอัปเดตสำหรับปรับปรุงช่องโหว่ความปลอดภัยร้ายแรงสูง 3 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งอัปเดตทั้งหมดในทันทีที่ทำได้

สำหรับรายชื่ออัปเดตความปลอดภัยเดือนมกราคม 2559 มีดังต่อไปนี้
  • MS16-001: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-002: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-003: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-004: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Office (Visual Basic) ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-005: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-006: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Silverlight ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-007: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-008: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-010: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Exchange Server ที่ใช้ในการทำ Spoofing ได้

Security Bulletin January 2016 (เครดิต: Microsoft)

สำหรับรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบนั้น สามารถอ่านได้จากเว็บไซต์ Microsoft

การอัปเดตระบบ
ผู้ใช้ Windows สามารถทำการอัปเดตโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (วิธีการทำจะขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการอัปเดตผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 13 มกราคม 2559 (ตามเวลาในประเทศไทย) เป็นต้นไป

ความเห็นของผู้เขียน
ความเห็นของผมเหมือนเดิม คือ ถึงแม้ว่าไมโครซอฟท์จะแนะนำให้ผู้ใช้ Windows ทำการติดตั้งอัปเดตทุกตัวในทันทีที่ทำได้ อย่างไรก็ตาม แต่ผมขอแนะนำแอดมินที่รับผิดชอบการติดตั้งอัปเดตให้ทดลองติดตั้งบนเครื่องทดสอบให้แน่ใจก่อนว่าไม่มีปัญหา Windows เสียจากบั๊กของอัปเดต แล้วจากนั้นจึงค่อยปรับใช้กับทั้งระบบครับ

หมายเหตุ: ตั้งแต่เดือนมกราคม 2558 เป็นต้นมาไมโครซอฟท์จะแจ้งรายละเอียดการออกอัปเดตล่วงหน้าหรือ Advance Notification Service (ANS) ให้เฉพาะลูกค้าพรีเมียร์และบริษัทที่เข้าร่วมโปรแกรมความปลอดภัยเท่านั้น อ่านรายละเอียด

* ไมโครซอฟท์ข้าม MS16-009 โดยไม่ระบุเหตุผล (คาดว่าอาจมีปัญหาบางอย่างในการพัฒนา) และมีความเป็นไปได้ว่าจะออกอัปเดตดังกล่าวนี้เพิ่มเติมในภายหลัง

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center

Copyright © 2016 TWA Blog. All Rights Reserved.