Breaking News

Microsoft แพตซ์อุตช่องโหว่ร้ายแรง 34 รายการแนะผู้ใช้ควรอัปเดต

Microsoft ออกแพตซ์แก้ไขช่องโหว่ประจำเดือนธันวาคมจำนวน 34 รายการ โดยแบ่งเป็นการแก้ไขช่องโหว่ระดับความเสี่ยงสูงถึง 20 รายการและ อีก 12 รายการอยู่ในระดับสำคัญ โดยผลิตภัณฑ์ที่ได้รับผลกระทบคือ IE, Microsoft Edge, Windows, Office, SharePoint และ Exchange

Credit: alexmillos/ShutterStock

ซึ่งเมื่ออาทิตย์ที่แล้วทาง Microsoft ได้ออกแพตซ์แก้ไข Microsoft Protection Engine ที่มีช่องโหว่ทำเกิด Remote Code Execution ไปแล้ว ครั้งนี้ Bug ที่สำคัญกว่าครึ่งเป็นของ IE และ Edge (Browser ของ Window 10)

CVE-2017-11907 เป็น Bug ที่ทำให้เกิด Remote Code Execution เมื่อ IE เข้าถึง Object ภายใน Memory อย่างไม่เหมาะสม “ผู้โจมตีสามารถประดิษฐ์เว็บไซต์ที่ออกแบบมาพิเศษและทำให้ผู้ใช้งานเข้าไปชมเว็บดังกล่าว“--Microsoft อธิบาย หากทำสำเร็จผู้โจมตีจะได้รับสิทธิ์เดียวกันกับผู้ใช้งานปัจจุบัน นอกจากนี้ Greg Wiseman นักวิจัยด้านความปลอดภัยอวุโสจาก Rapid7 ยังมีความเห็นว่าผู้โจมตีไม่ต้องอาศัยเทคนิค Social Engineering ซับซ้อนเพียงแค่ผู้ใช้งานที่มีสิทธิ์เป็นผู้ดูแลของเครื่องใช้ IE และ Edge ที่ยังไม่ได้อัปเดตแพทซ์เข้าเว็บอันตรายผู้โจมตีก็สามารถเข้าควบคุมเครื่องได้ทั้งหมด

CVE-2017-11935 คือช่องโหว่ผู้เชี่ยวชาญแนะนำให้อัปเดตเช่นกัน ซึ่งทำให้เกิด Remote Code Execution บน Excel ใน Office 2016 รายละเอียดของช่องโหว่นี้คือ “Microsoft ไม่สามารถจัดการ Object ใน Memory ได้อย่างเหมาะสมเมื่อเจอกับไฟล์ที่ถูกประดิษฐ์ขึ้นเป็นพิเศษ” Chris Goettl ผู้จัดการฝ่ายผลิตภัณฑ์ของ Microsoft กล่าวว่า “เพียงแค่ผู้โจมตีทำให้เหยื่อเปิดไฟล์พิเศษนั้นได้ ก็จะได้สิทธิ์เข้าควบคุมระบบทั้งหมด

CVE-2017-11927 เป็นอีกช่องโหว่นึงที่นักวิจัยจาก Zero Day Initiative แนะนำว่าต้องใส่ใจ โดยมันจะเกิดขึ้นเมื่อ Protocol Handler ของ Window (its://) ส่งข้อมูลที่ไม่จำเป็นออกไปยังไซต์ภายนอกเพื่อค้นหาข้อมูลภายใน URL เช่น ผู้โจมตีหลอกให้เหยื่อไปยังเว็บอันตรายหรือ ที่อยู่ของไฟล์ SMB (D:\\anyfolder) และ UNC (\\host-name\share-name\file_path) ทำให้เกิดการเปิดเผย NTLM hash ที่ผู้โจมตีสามารถนำไปหา Hash Password ต่อไปด้วยการ Brute Force

ที่มา : https://threatpost.com/microsoft-december-patch-tuesday-update-fixes-34-bugs/129154/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่