Wednesday, October 12, 2016

Microsoft Security Update ตุลาคม 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, IE, Edge, Office และ .NET

ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนตุลาคมจำนวน 10* ตัว เพื่อปรับปรุงช่องโหว่ร้ายแรงสูงสุด (Critical) จำนวน 5 ตัว ปรับปรุงช่องโหว่ร้ายแรงสูง (Important) จำนวน 4 ตัว และปรุงช่องโหว่ร้ายแรงปานกลาง (Moderate) จำนวน 1 ตัว รายละเอียดดังนี้

สรุปการปรับปรุงความปลอดภัยเดือนตุลาคม 2559
ไมโครซอฟท์ออกการปรับปรุงความปลอดภัยเดือนตุลาคมจำนวน 10 ตัว สำหรับปรับปรุงช่องโหว่ความปลอดภัย (CVEs) ที่พบใน Windows, IE, Edge, Office, .NET Framework, Skype และ Lync แบ่งเป็นการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูงสุด 5 ตัว การปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงสูง 4 ตัว และการปรับปรุงสำหรับแก้ช่องโหว่ความปลอดภัยร้ายแรงปานกลาง 1 ตัว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ทำการติดตั้งการปรับปรุงทั้งหมดในทันทีที่ทำได้

สำหรับรายชื่อการปรับปรุงความปลอดภัยเดือนตุลาคม 2559 มีดังต่อไปนี้
  • MS16-118: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน IE ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-119: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Edge ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-120: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน .NET Framework, Office, Skype และ Lync ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-121: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Office ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-122: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Windows ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้
  • MS16-123: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Elevation of Privilege ได้
  • MS16-124: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Elevation of Privilege ได้
  • MS16-125: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงใน Windows ที่ใช้ทำ Elevation of Privilege ได้
  • MS16-126: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงปานกลางใน Windows ที่ทำให้เกิด Information Disclosure ได้
  • MS16-127: แก้ไขช่องโหว่ความปลอดภัยร้ายแรงสูงสุดใน Adobe Flash Player ที่ใช้โจมตีระบบแบบ Remote Code Execution ได้

Security Bulletin October 2016 (เครดิต: Microsoft)

สำหรับ MS16-118 ซึ่งใช้ปรับปรุงความปลอดภัยร้ายแรงสูงสุดใน IE นั้น ออกให้เฉพาะ IE9 บน Windows Vista และ Windows Server 2008, IE10 บน Windows Server 2012 และ IE11 บน Windows ทุกเวอร์ชันที่สนับสนุน แต่ไม่มีของ IE10 และเก่ากว่าบน Windows ตัวอื่น เนื่องจากไมโครซอฟท์หยุดการสนับสนุนไปเมื่อ 12 มกราคม 2559 ที่ผ่านมา ดังนั้นผู้ใช้ IE10 และเก่ากว่าต้องตัดสินใจว่าจะใช้งานต่อไปโดยแบกรับความเสี่ยงเองหรืออัปเกรดเป็นเวอร์ชันที่ใหม่กว่า

สามารถดูรายชื่อซอฟต์แวร์ทั้งหมดที่จะได้รับผลกระทบได้จากเว็บไซต์ Microsoft

การการปรับปรุงระบบ
ผู้ใช้ Windows สามารถทำการการปรับปรุงโดยใช้เครื่องมือ Windows Update จากบนเครื่อง (วิธีการทำจะขึ้นอยู่กับเวอร์ชันของ Windows ที่ใช้) หรือจากทำการการปรับปรุงผ่านทางเซิร์ฟเวอร์ WSUS (สำหรับผู้ใช้องค์กร) ทั้งนี้ ตั้งแต่วันที่ 11 ตุลาคม 2559 ที่ผ่านมา

ความเห็นของผู้เขียน
ถึงแม้ว่าไมโครซอฟท์จะแนะนำให้ผู้ใช้ Windows ทำการติดตั้งการปรับปรุงทุกตัวในทันทีที่ทำได้ แต่สำหรับแอดมินที่รับผิดชอบการติดตั้งการปรับปรุงในองค์กร ผมขอแนะนำว่าให้ทดลองติดตั้งบนเครื่องทดสอบให้แน่ใจก่อนว่าไม่มีปัญหา Windows เสียจากบั๊กของการปรับปรุงแล้วจากนั้นจึงค่อยปรับใช้กับทั้งระบบ

ป.ล. แนะนำให้ผู้ใช้ IE10 บน Windows 7 อัปเกรดเป็น IE11 (ถ้าทำได้) โดยเร็วที่สุด

*นับรวม MS16-127 สำหรับแก้ไขช่องโหว่ใน Flash Player ใน IE

แหล่งข้อมูลอ้างอิง
Microsoft Security Center
MSRC

Copyright © 2016 TWA Blog. All Rights Reserved.

0 Comment: