สรุปการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์ 2559
ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์จำนวน 13 ตัว สำหรับปรับปรุงช่องโหว่ความปลอดภัย (CVEs) 41 จุด (ผมนับจากที่ไมโครซอฟท์ระบุไว้ในรายละเอียดของการปรับปรุงแต่ละตัวโดยไม่รวม MS16-022 ค่านี้อาจจะมีความคลาดเคลื่อนจากจำนวนที่แท้จริงได้) ที่พบใน Windows, IE, Edge, Office/Office Service and Web Apps และ .NET Framework แบ่งเป็นการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูงสุด 6 ตัว และการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูง 7 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งการปรับปรุงทั้งหมดในทันทีที่ทำได้
มีข้อสังเกตที่น่าสนใจสำหรับการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์ 2559 นี้ คือเป็นครั้งแรกที่ไมโครซอฟท์รวมการปรับปรุง Flash Player (MS16-022) เข้ามาเป็นส่วนหนึ่งของการปรับปรุง โดยก่อนหน้านี้ออกเป็น Microsoft Security Advisory 2755801
สำหรับรายชื่อการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์ 2559 มีดังต่อไปนี้
- MS16-009: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
- MS16-011: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
- MS16-012: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
- MS16-013: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
- MS16-014: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
- MS16-015: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Office/Office Service and Web Apps ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
- MS16-016: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
- MS16-017: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
- MS16-018: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
- MS16-019: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows/.NET Framework ที่ใช้ในการทำ Denial of Service ได้
- MS16-020: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Denial of Service ได้
- MS16-021: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Denial of Service ได้
- MS16-022: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Adobe Flash Player ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
Security Bulletin February 2016 (เครดิต: Microsoft)
สำหรับ MS16-009 ซึ่งแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE นั้น ออกให้เฉพาะ IE9 บน Windows Vista และ Windows Server 2008, IE10 บน Windows Server 2012 และ IE11 บน Windows ทุกเวอร์ชันที่สนับสนุน โดยไม่มีของ IE10 และเก่ากว่าแต่อย่างใดเนื่องจากไมโครซอฟท์หยุดการสนับสนุนไปเมื่อ 12 มกราคม 2559 ที่ผ่านมา
สามารถดูรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบได้จากเว็บไซต์ Microsoft
การการปรับปรุงระบบ
ผู้ใช้ Windows สามารถทำการการปรับปรุงโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (วิธีการทำจะขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการการปรับปรุงผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 10 กุมภาพันธ์ 2559 (ตามเวลาในประเทศไทย) เป็นต้นไป
ความเห็นของผู้เขียน
ความเห็นของผม - ถึงแม้ว่าไมโครซอฟท์จะแนะนำให้ผู้ใช้ Windows ทำการติดตั้งการปรับปรุงทุกตัวในทันทีที่ทำได้ อย่างไรก็ตาม แต่ผมขอแนะนำแอดมินที่รับผิดชอบการติดตั้งการปรับปรุงให้ทดลองติดตั้งบนเครื่องทดสอบให้แน่ใจก่อนว่าไม่มีปัญหา Windows เสียจากบั๊กของการปรับปรุง แล้วจากนั้นจึงค่อยปรับใช้กับทั้งระบบ และสำหรับผู้ใช้ IE10 บน Windows 7 แนะนำให้อัพเกรดเป็น IE11 (ถ้าทำได้) โดยเร็วที่สุด
ขอให้ผู้อ่านทุกท่าน มีความสุขในเทศกาลวาเลนไทน์ Happy Valentine's Day (ล่วงหน้า) ครับ
*นับรวมการปรับปรุง MS16-009 สำหรับแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ซึ่งตกค้างมาจากเดือนมกราคม 2559
แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center
Copyright © 2016 TWA Blog. All Rights Reserved.
