Microsoft แพตช์เดือนกันยายนอุดช่องโหว่ร้ายแรง 17 รายการและช่องโหว่ Zero-day แนะควรอัปเดต

Microsoft ได้ทำการปล่อยแพตช์ประจำเดือนและเป็นไปตามคาดคือแก้ไข Zero-day ที่เกี่ยวกับ Task Scheduler APLC ซึ่งเริ่มมีการประยุกต์ใช้งานจริงแล้วในกลุ่มแฮ็กเกอร์ นอกจากนี้ยังมีการแก้ไขช่องโหว่ร้ายแรงอีกกว่า 17 รายการที่ส่งผลกระทบกับผลิตภัณฑ์อย่าง IE, .Net Framework, Microsoft Edge, Microsoft Office และอื่นๆ ดังนั้นแนะนำผู้ใช้ควรรีบอัปเดตด่วน

Credit: alexmillos/ShutterStock

ช่องโหว่ที่น่าสนใจซึ่งถูกแก้ไขในแพตช์ประจำเดือนกันยายน 2018 มีดังนี้

  • CVE-2018-8440 หรือช่องโหว่ Zero-day ที่ถูกเปิดเผยโค้ด PoC ก่อนหน้านี้ซึ่งเกิดขึ้นกับ Task Scheduler APLC ทำให้เกิดการยกระดับสิทธิ์ได้
  • CVE-2018-8475 ช่องโหว่ที่กระทบกับ Windows 10 ในทุกเวอร์ชันไปจนถึง Windows Server คือแฮ็กเกอร์สามารถสร้างไฟล์รูปภาพอันตรายที่ทำให้เกิดการรันโค้ดได้เมื่อถูกเปิดไฟล์
  • CVE-2018-8457 คือสามารถทำให้เกิด Remote Code Execution ภายใต้บริบทของผู้ใช้ที่ล็อกอินอยู่ซึ่งเกิดจากกลไกการจัดการ Script ที่เกี่ยวกับหน่วยความจำใน Microsoft Browser (Scripting Engine Memory Corruption)
  • CVE-2018-0965 และ CVE-2018-8439 ที่ส่งผลกระทบกับ Windows และ Hyper-V ที่ทำให้แฮ็กเกอร์สามารถเข้าถึง Guest VM เพื่อรันโค้ดบน OS ได้
  • CVE-2018-8461 ช่องโหว่ใน IE 11 ที่ทำให้เกิด Remote Code Execution จากเว็บไซต์อันตรายได้

อย่างไรก็ตามแนะนำผู้ใช้งานควรรีบอัปเดตเนื่องจากช่องโหว่อย่าง CVE-2018-8475 และ CVE-2018-8457 มีการเปิดเผยสู่สาธารณะแล้วเพียงแต่ยังไม่มีรายงานการนำไปใช้โจมตีเท่านั้นเอง นอกจากนี้ยังมีช่องโหว่อีกหลายรายการที่กระทบกับ Microsoft Office, ส่วนประกอบด้านกราฟฟิค, Kernel และอื่นๆ หากสนใจรายละเอียดเพิ่มเติมของแพตช์สามารถเข้าไปดูรายละเอียดทั้งหมดได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-september-2018-patch-tuesday-fixes-17-critical-vulnerabilities/ และ https://www.securityweek.com/microsoft-patches-windows-zero-day-disclosed-twitter


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สรุปแนวโน้มด้านความมั่นคงปลอดภัยไซเบอร์ปี 2019 โดย Check Point

ภายในงาน CPX360 ซึ่งเป็นงานสัมมนาใหญ่ประจำปีของ Check Point ทางทีมงาน TechTalkThai ได้มีโอกาสเข้าร่วมฟังบรรยายสถิติการโจมตีที่พบบ่อยในปี 2018 และคาดการณ์แนวโน้มของการโจมตีที่จะเกิดขึ้นในปี 2019 จึงนำมาสรุปให้ได้อ่านกันครับ นอกจากนี้ Check Point …

สรุปเซสชัน Keynote ภายในงาน CPX360 สัมมนาใหญ่ประจำปีของ Check Point

ทีมงาน TechTalkThai ได้รับเชิญจาก Check Point ให้เข้าร่วมงาน CPX360 ซึ่งเป็นงานสัมมนาใหญ่ประจำปีของภูมิภาคเอเซียแปซิฟิกที่มีผู้เข้าร่วมกว่า 1,500 คน ณ โรงแรม เซนทาราแกรนด์ กรุงเทพฯ โดยช่วง …