ไมโครซอฟท์ออกแพตช์ความปลอดภัยประจำเดือนพฤศจิกายนจำนวน 16 ตัว โดยเป็นช่องโหว่ระดับ "ร้ายแรง" (critical) จำนวน 4 ตัว
แพตช์ตัวที่น่าจับตาที่สุดคือ MS14-066 ซึ่งอุดช่องโหว่ของแพ็กเกจ Schannel (Microsoft Secure Channel) ส่วนประกอบของวินโดวส์ที่ทำหน้าที่สื่อสารผ่าน TLS/SSL ในวินโดวส์ทุกรุ่น นับตั้งแต่ Windows Server 2003 เป็นต้นมา โดยช่องโหว่นี้จะเปิดโอกาสให้ผู้ประสงค์ร้ายสามารถเข้ามารันโค้ดบนเครื่องของเราได้ รูปแบบของช่องโหว่จะใกล้เคียงกับบั๊ก Heartbleed ของฝั่ง OpenSSL ที่เคยเป็นข่าวใหญ่ระดับโลกมาแล้ว - Ars Technica
แพตช์อีกตัวที่น่าสนใจไม่แพ้กันคือ MS14-064 แก้ช่องโหว่เก่าแก่ของ IE นับตั้งแต่ IE 3.0 บน Windows 95 เป็นต้นมา (แต่ระบบปฏิบัติการที่ยังอยู่ในระยะสนับสนุนและมีแพตช์คือ Windows Server 2003 หรือใหม่กว่า) โดยช่องโหว่นี้เกี่ยวข้องกับการรันโค้ด Windows OLE (Object Linking and Embedding) ตัวอย่างที่พบบ่อยคือมาโครในไฟล์ Excel - Krebs on Security
เอาเป็นว่าใครเป็นผู้ดูแลระบบวินโดวส์ควรติดตั้งแพตช์กันด่วน ส่วนผู้ใช้ทั่วไปก็อัพเดตผ่าน Windows Update กันตามปกติครับ
ที่มา - Microsoft
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ผมนี่ถึงกับกดอัพเดตเลยอ่ะ
//เชื่อว่าอีกสักพักคงมี Hacker ไล่แฮกผ่านช่องโหว่นี้กันสนุกสนานแน่เลย คอมพิวเตอร์ที่ปิดอัพเดตไปก็ซวยกันถ้วนหน้า
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
ตั้งแต่ 95 ทำไมเพิ่งมาแก้ตอนนี้ฟร่าาาา แต่ก็ขอบคุณครับ - -"
ผมว่าเขาเพิ่งเจอมมากกว่า
The Dream hacker..
เพิ่งเจอครับ สังเกตจากเลข MS14 ที่บอกว่าเป็น Vulnerability ที่ค้นพบปี 2014
ผมว่าโค้ดที่อยู่ใน Windows ทุกวันนี้ก็ยังมีบางส่วนที่เป็น Legacy มาจาก 95 นะครับ
อย่างพวก ActiveX ต่าง ๆ
อันนี้หรือเปล่าที่ Home Depot โดน
The Dream hacker..
คนที่คิดว่าเคอมไม่มีอะไรสำคัญ Hacker เข้าไม่เอาอะไรก็จริง(เพราะไม่มีอะไรให้เอา) แต่ก็จะกลายเป็น Zombie ไว้ทำฐานยิง DDOSS แน่ๆ 1 อย่าง ถ้าถูกควบคุมเครื่องได้
ก็ว่าอยู่ เห็นแจ้งเตือนในหน้าก่อนล็อกอินว่ามีอัปเดต
พอเปิดเข้าไปใน Windows Update แม่เจ้า 1 กิ๊กกว่าๆ
เดี๋ยวอัปเดตตามครับ
ปล. ฝากถามหน่อยนะครับ (คิดว่านอกเรื่องนะ) ผมเผลอไปลบไฟล์ในโฟลเดอร์นี้ C:\Users\MYUSERNAME\AppData\Local ออกไปเกือบครึ่งหนึ่ง (กดลบผิดที่ ใจจริงอยากจะลบ C:\Users\MYUSERNAME\AppData\Local\Temp) พอกดยกเลิกการลบ ก็ไม่ทันแล้ว เมื่อกลับมายังหน้า Start Screen คือ พวกไอคอนต่างๆ มันหายไปหมดเลย เลยแค่ไอคอนของ Desktop เท่านั้น เลยอยากถามว่า หากเราใช้คำสั่ง Refresh Windows มันจะกลับมาให้ไหมครับ
ไม่น่ากลับมาครับ เพราะ Refresh your PC มันไม่แก้ข้อมูลใน User Profiles ส่วนที่คุณลบออกไปเป็น config/cache ของ applications แนะนำว่าลอง create user ใหม่เลย แล้วทยอยถ่ายข้อมูลไปใส่ user ใหม่แล้วใช้ user ใหม่แทนไปเลย
ไม่รู้ว่าใช้เวลาหาช่องโหว่อยู่ 19 ปี
หรือลองหาบนตัวอื่นๆ แล้วไปทดลองกับ 95
ว่าแต่ยังเก็บ 95 กันเอาไว้อีกเหรอเนี่ย
น่าจะพบจากการทดสอบรุ่นใหม่ๆ แต่โมดูลนี้มันมีมาตั้งแต่ win 95
น่าจะเป็นช่องโหว่ที่เข้าถึงยาก แล้วไม่ค่อยมีการเรียกใช้โมดูลนั้น ทำให้หาไม่เจออะครับ
แต่มันก็มีการเอาโมดูลนั้นเก็บมาเรื่อย ๆ อะครับ โดยเฉพาะพวก ActiveX รู้สึกว่าจะ Compat ตั้งแต่ 95 มาถึง Windows 8 เลยทีเดียว
DLL หลาย ๆ ตัวก็ไม่ได้เปลี่ยนแปลงอะไรมีอัพเกรดปรับปรุงเสริมความปลอดภัยนิดหน่อย โปรแกรมเก่า ๆ เลยยังใช้งานได้
อย่าง Doom ที่มีคนเอามาลองรันตั้งแต่ Windows 3.11 จนถึง Windows 7 หรือไงเนี่ยแหละครับ
นึกถึงวัยเด็ก dos 622 th
นึกถึง autoexec.bat, config.sys, himem.sys สินะครับ