Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

Microsoft แพตช์เดือนเมษายนอุดช่องโหว่ 110 รายการ และ 3 ช่องโหว่ Zero-day

Microsoft ได้ประกาศแพตช์ประจำเดือนเมษายน โดยมีการแก้ไขช่องโหว่กว่า 113 รายการ โดยไฮไลต์คือช่องโหว่ Zero-day 3 รายการซึ่ง 2 รายการพบการใช้โจมตีแล้ว

Credit: alexmillos/ShutterStock

ช่องโหว่ Zero-day ที่ถูกใช้โจมตีแล้วคือ CVE-2020-0938 และ CVE-2020-1020 โดยทั้งสองเป็นช่องโหว่ที่เกิดขึ้นใน Windows Adobe Type Manager Library ซึ่ง Microsoft กล่าวว่าสำหรับระบบที่ไม่ใช่ Windows 10 คนร้ายอาจสามารถใช้ช่องโหว่เพื่อลอบรันโค้ดจากทางไกลได้ (RCE) แต่สำหรับ Windows 10 คนร้ายที่โจมตีสำเร็จจะสามารถเข้าไป Execute โค้ดใน AppContainer Sandbox ด้วยสิทธิ์จำกัด หลังจากนั้นคนร้ายจะสามารถติดตั้งโปรแกรม เรียกดู เปลี่ยนแปลง หรือลบข้อมูลได้ รวมถึงสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์เต็ม อย่างไรก็ดีมีหลายทางที่คนร้ายจะใช้ช่องโหว่ได้ เช่น หลอกให้เหยื่อเปิดไฟล์เอกสารที่ประดิษฐ์ขึ้นแบบพิเศษหรือดูผ่าน Windows Preview 

อีกหนึ่งช่องโหว่ Zero-day ก็คือ CVE-2020-1027 โดยเป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดขึ้นใน Windows Kernel ทั้งนี้ Microsoft ได้ยกเครดิตในการพบช่องโหว่ทั้ง 3 แก่ Google Project Zero นอกจากนี้ยังมีช่องโหว่ระดับรายแรงและช่องโหว่อื่นๆ กว่า 100 รายการถูกแพตช์ในครั้งนี้เช่นกัน ผู้สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่นี่ 

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2020-patch-tuesday-fixes-3-zero-days-15-critical-flaws/ และ  https://www.zdnet.com/article/microsoft-april-2020-patch-tuesday-comes-with-fixes-for-three-zero-days/ และ  https://www.securityweek.com/windows-vulnerabilities-exploited-code-execution-privilege-escalation



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Citrix Webinar: รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้

TechTalkThai ขอเรียนเชิญ CTO, CISO, CIO, IT Manager, Security Engineer, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Citrix Webinar Series Back To Office: Ensuring a Flexible & Secure Workspace [Episode 3] ในหัวข้อเรื่อง "รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้" เพื่อทำความรู้จักกับ Zero Trust Model ซึ่งเป็นแนวทางในการรักษาความมั่นคงปลอดภัยให้กับระบบ IT ที่กำลังได้รับความนิยมในธุรกิจองค์กรและระบบ Application สมัยใหม่ พร้อมวิธีการนำมาปรับใช้จริงในระบบ IT ในวันอังคารที่ 6 ตุลาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Oracle Exadata Cloud at Customer – On-premises Cloud ที่ดีที่สุดสำหรับ Oracle Database และ AI/ML Workload

ระบบฐานข้อมูลยังคงเป็นหัวใจสำคัญของการดำเนินธุรกิจ โดยเฉพาะอย่างยิ่งในยุคดิจิทัลที่ข้อมูลถูกเปรียบเปรยว่าเป็น “แหล่งน้ำมันสมัยใหม่” หลายองค์กรเริ่มจัดเก็บข้อมูลหลากหลายรูปแบบนอกจาก Relational Data มากขึ้น เพื่อเพิ่มความสะดวกในการประมวลผลข้อมูล เมื่อฐานข้อมูลมีหลากหลายรูปแบบ ย่อมต้องการผู้ดูแลที่มีทักษะ ทั้งยังมีเรื่องอธิปไตยของข้อมูล Oracle จึงนำเสนอแนวคิด “Converged Database” …