Microsoft November 2020 Patch Tuesday fixes 112 vulnerabilities

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

Google เปิดตัว Chrome เวอร์ชันใหม่เเก้ไขช่องโหว่ RCE แบบ Zero-day

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Google ประกาศรายละเอียดช่องโหว่ Zero-day ใน Windows เร่งด่วน พบการโจมตีแล้ว ยังไม่มีการแพตช์ในขณะนี้

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.