Wednesday, March 9, 2016

Microsoft Security Update มีนาคม 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, Edge และ IE (ยกเว้น IE10 และเก่ากว่า)

ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนมีนาคมจำนวน 13 ตัว เพื่อปรับปรุงช่องโหว่ร้ายแรงสูงสุด (Critical) จำนวน 5 ตัว และปรับปรุงช่องโหว่ร้ายแรงสูง (Important) จำนวน 8 ตัว รายละเอียดดังนี้

สรุปการปรับปรุงความปลอดภัยเดือนมีนาคม 2559
ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยเดือนมีนาคมจำนวน 13 ตัว สำหรับปรับปรุงช่องโหว่ความปลอดภัย (CVEs) 43* จุด ที่พบใน Windows, IE, Edge, Office/Office Service and Web Apps และ .NET Framework แบ่งเป็นการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูงสุด 5 ตัว และการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูง 8 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งการปรับปรุงทั้งหมดในทันทีที่ทำได้

สำหรับรายชื่อการปรับปรุงความปลอดภัยเดือนมีนาคม 2559 มีดังต่อไปนี้
  • MS16-023: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-024: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-025: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-026: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-027: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-028: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-029: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Office, Office Services and Web Apps และ Server Software ที่ใช้ในการทำ Remote Code Execution ได้
  • MS16-030: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-031: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-032: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-033: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-034: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ในการทำ Elevation of Privilege ได้
  • MS16-035: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน .NET Framework ที่ใช้ในการทำ Security Feature Bypass ได้
  • MS16-036: ออก 10 มีนาคม 2559 (out-of-band) แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Adobe Flash Player ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้

Security Bulletin March 2016 (เครดิต: Microsoft)

สำหรับ MS16-023 ซึ่งใช้ปรับปรุงความปลอดภัยร้ายแรงสูงสุดใน IE นั้น ออกให้เฉพาะ IE9 บน Windows Vista และ Windows Server 2008, IE10 บน Windows Server 2012 และ IE11 บน Windows ทุกเวอร์ชันที่สนับสนุน แต่ไม่มีของ IE10 และเก่ากว่าเนื่องจากไมโครซอฟท์หยุดการสนับสนุนไปเมื่อ 12 มกราคม 2559 ที่ผ่านมา ดังนั้นผู้ใช้ IE10 และเก่ากว่าต้องตัดสินใจว่าจะใช้งานต่อไปโดยแบกรับความเสี่ยงเองหรืออัพเกรดเป็นเวอร์ชันที่ใหม่กว่า

สามารถดูรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบได้จากเว็บไซต์ Microsoft

การการปรับปรุงระบบ
ผู้ใช้ Windows สามารถทำการการปรับปรุงโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (วิธีการทำจะขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการการปรับปรุงผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้แบบองค์กร) ทั้งนี้ ตั้งแต่วันที่ 8 มีนาคม 2559 เป็นต้นไป

ความเห็นของผู้เขียน
ผมมีความเห็นเหมือนเดิม คือ ถึงแม้ว่าไมโครซอฟท์จะแนะนำให้ผู้ใช้ Windows ทำการติดตั้งการปรับปรุงทุกตัวในทันทีที่ทำได้ อย่างไรก็ตาม แต่ผมขอแนะนำแอดมินที่รับผิดชอบการติดตั้งการปรับปรุงให้ทดลองติดตั้งบนเครื่องทดสอบให้แน่ใจก่อนว่าไม่มีปัญหา Windows เสียจากบั๊กของการปรับปรุง แล้วจากนั้นจึงค่อยปรับใช้กับทั้งระบบ และสำหรับผู้ใช้ IE10 บน Windows 7 แนะนำให้อัพเกรดเป็น IE11 (ถ้าทำได้) โดยเร็วที่สุด

*นับจากที่ไมโครซอฟท์ระบุไว้ในรายละเอียดของการปรับปรุงแต่ละตัวค่านี้อาจจะมีความคลาดเคลื่อนจากจำนวนที่แท้จริงได้

แหล่งข้อมูลอ้างอิง
Microsoft Security Center

Copyright © 2016 TWA Blog. All Rights Reserved.