Ingram SUSE

Microsoft แพตช์ช่องโหว่ประจำเดือนตุลาคม 87 รายการ แนะผู้ดูแลควรอัปเดต

สัปดาห์ที่สองของทุกเดือนจะมีการแพตช์อุดช่องโหว่จาก Microsoft ซึ่งในครั้งนี้มีการแก้ไขช่องโหว่กว่า 87 รายการและ 12 รายการมีระดับร้ายแรง โดยมีช่องโหว่ที่น่าสนใจเกิดขึ้นกับส่วนของ TCP/IP และ Outlook ด้วย

Credit: alexmillos/ShutterStock

มีช่องโหว่ 6 รายการที่ถูกเปิดเผยต่อสาธารณะไปแล้วตามด้านล่าง แต่เคราะห์ดีที่ยังไม่พบการโจมตีจริง

  • CVE-2020-16938 : ช่องโหว่ Information Disclosure ใน Windows Kernel
  • CVE-2020-16885 : ช่องโหว่ยกระดับสิทธิ์ใน Windows Storage VSP Driver
  • CVE-2020-16901 : ช่องโหว่ Information Disclosure ใน Windows Kernel
  • CVE-2020-16908 : ช่องโหว่ยกระดับสิทธิ์ใน Windows Setup
  • CVE-2020-16909 : ช่องโหว่ยกระดับสิทธิ์ใน Windows Error Reporting
  • CVE-2020-16937 : ช่องโหว่ Information Disclosure ใน .NET Framework

อันที่จริงแล้วยังมีช่องโหว่ร้ายแรงที่สามารถถูกใช้ลอบรันโค้ดจากทางไกล (RCE) ที่น่าสนใจคือ CVE-2020-16898 เพราะเกิดขึ้นใน TCP/IP Stack โดยเพียงแค่คนร้ายลอบส่งแพ็กเก็ต ICMPv6 Router Advertisement เข้ามาหาเครื่องเหยื่อ ซึ่งหากทำได้สำเร็จจะสามารถลอบรันโค้ดได้ ทั้งนี้ผลกระทบเกิดขึ้นผู้ใช้งาน Windows 10 และ Windows Server 2019 

อีกหนึ่งช่องโหว่ RCE ระดับร้ายแรงที่น่าสนใจไม่แพ้กันคือ CVE-2020-16947 เกิดกับ Outlook โดย Microsoft ชี้ว่าคนร้ายเพียงแค่หลอกให้เหยื่อเปิดไฟล์แบบพิเศษด้วยซอฟต์แวร์ Outlook ที่มีช่องโหว่เท่านั้นเพื่อใช้งาน

อย่างไรก็ดียังมีช่องโหว่อันตรายอีกหลายรายการ ผู้สนใจสามารถเข้าไปติดตามช่องโหว่ทั้งหมดได้ที่นี่ 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-october-2020-patch-tuesday-fixes-87-security-bugs/ และ https://www.zdnet.com/article/microsoft-october-2020-patch-tuesday-fixes-87-vulnerabilities

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

Microsoft ประกาศเข้าซื้อกิจการ ‘Nuance’ ด้วยมูลค่า 19,700 ล้านเหรียญสหรัฐฯ

Microsoft ได้ทำสร้างสถิติอันกับสองของยอดเข้าซื้อกิจการ ด้วยดีลการเข้าซื้อ Nuance Communications Inc. ด้วยมูลค่าสูงถึง 19,700 ล้านเหรียญสหรัฐฯ