Pages - Menu

Pages - Menu

Pages

Wednesday, February 10, 2016

Microsoft Security Update กุมภาพันธ์ 2559: ปิดช่องโหว่ร้ายแรงสูงสุดใน Edge และ IE ยกเว้น IE10 และเก่ากว่า

ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนกุมภาพันธ์จำนวน 13 ตัว* โดยเดือนนี้นอกจากผู้ใช้ซอฟต์แวร์ที่ได้รับผลกระทบจะต้องทำการติดตั้งการปรับปรุงให้เรียบร้อยแล้ว ผู้ใช้ IE10 บน Windows 7 ต้องตัดสินใจว่าจะแบกรับความเสี่ยงเองหรืออัพเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากการปรับปรุงความปลอดภัยร้ายแรงสูงสุดใน IE ที่ออกนั้นไม่มีของ IE10 และเก่ากว่าเพราะว่าหมดเวลาการสนับสนุนไปเมื่อ 12 มกราคม 2559 ที่ผ่านมา

สรุปการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์ 2559
ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์จำนวน 13 ตัว สำหรับปรับปรุงช่องโหว่ความปลอดภัย (CVEs) 41 จุด (ผมนับจากที่ไมโครซอฟท์ระบุไว้ในรายละเอียดของการปรับปรุงแต่ละตัวโดยไม่รวม MS16-022 ค่านี้อาจจะมีความคลาดเคลื่อนจากจำนวนที่แท้จริงได้) ที่พบใน Windows, IE, Edge, Office/Office Service and Web Apps และ .NET Framework แบ่งเป็นการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูงสุด 6 ตัว และการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูง 7 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งการปรับปรุงทั้งหมดในทันทีที่ทำได้

มีข้อสังเกตที่น่าสนใจสำหรับการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์ 2559 นี้ คือเป็นครั้งแรกที่ไมโครซอฟท์รวมการปรับปรุง Flash Player (MS16-022) เข้ามาเป็นส่วนหนึ่งของการปรับปรุง โดยก่อนหน้านี้ออกเป็น Microsoft Security Advisory 2755801

สำหรับรายชื่อการปรับปรุงความปลอดภัยเดือนกุมภาพันธ์ 2559 มีดังต่อไปนี้
  • MS16-009: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-011: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-012: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-013: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-014: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-015: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Office/Office Service and Web Apps ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-016: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-017: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-018: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-019: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows/.NET Framework ที่ใช้ในการทำ Denial of Service ได้
  • MS16-020: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Denial of Service ได้
  • MS16-021: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Denial of Service ได้
  • MS16-022: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Adobe Flash Player ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
Security Bulletin February 2016 (เครดิต: Microsoft)

สำหรับ MS16-009 ซึ่งแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE นั้น ออกให้เฉพาะ IE9 บน Windows Vista และ Windows Server 2008, IE10 บน Windows Server 2012 และ IE11 บน Windows ทุกเวอร์ชันที่สนับสนุน โดยไม่มีของ IE10 และเก่ากว่าแต่อย่างใดเนื่องจากไมโครซอฟท์หยุดการสนับสนุนไปเมื่อ 12 มกราคม 2559 ที่ผ่านมา

สามารถดูรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบได้จากเว็บไซต์ Microsoft

การการปรับปรุงระบบ
ผู้ใช้ Windows สามารถทำการการปรับปรุงโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (วิธีการทำจะขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการการปรับปรุงผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 10 กุมภาพันธ์ 2559 (ตามเวลาในประเทศไทย) เป็นต้นไป

ความเห็นของผู้เขียน
ความเห็นของผม - ถึงแม้ว่าไมโครซอฟท์จะแนะนำให้ผู้ใช้ Windows ทำการติดตั้งการปรับปรุงทุกตัวในทันทีที่ทำได้ อย่างไรก็ตาม แต่ผมขอแนะนำแอดมินที่รับผิดชอบการติดตั้งการปรับปรุงให้ทดลองติดตั้งบนเครื่องทดสอบให้แน่ใจก่อนว่าไม่มีปัญหา Windows เสียจากบั๊กของการปรับปรุง แล้วจากนั้นจึงค่อยปรับใช้กับทั้งระบบ และสำหรับผู้ใช้ IE10 บน Windows 7 แนะนำให้อัพเกรดเป็น IE11 (ถ้าทำได้) โดยเร็วที่สุด

ขอให้ผู้อ่านทุกท่าน มีความสุขในเทศกาลวาเลนไทน์ Happy Valentine's Day (ล่วงหน้า) ครับ

*นับรวมการปรับปรุง MS16-009 สำหรับแก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ซึ่งตกค้างมาจากเดือนมกราคม 2559

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
Microsoft Security Response Center

Copyright © 2016 TWA Blog. All Rights Reserved.