เมื่อปี 2016 ใกล้จะถึงวันออก Microsoft ได้ปล่อยอัปเดตล่าสุด 'Patch Tuesday' สำหรับปี การอัปเดตนี้มีการอัปเดตความปลอดภัยสูงสุดจำนวนมากในแพตช์เดียว มันมีหกแพทช์ที่สำคัญกับที่เหลืออีกหกอันดับที่สำคัญ มันครอบคลุมถึงข้อบกพร่องส่วนตัว 34 ข้อซึ่งทั้งหมดนี้หากนำไปใช้ประโยชน์อาจนำไปสู่การเรียกใช้รหัสระยะไกล ดังนั้นเตรียมพร้อมสำหรับการรีสตาร์ท เป็นการดีที่จะไม่ชะลอการปรับใช้โปรแกรมแก้ไขเหล่านี้ ตั้งแต่สามของพวกเขาที่อยู่ช่องโหว่ที่ได้รับการเปิดเผยต่อสาธารณชน

ข้อบกพร่องที่สำคัญมีการอธิบายไว้ในกระดานข่าว MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 และ MS16-154 พวกเขาบอกว่าจะเอาชนะความอ่อนแอใน Windows, Internet Explorer, Edge และ Office โดยเฉพาะอย่างยิ่งความผิดพลาดที่ผู้ใช้ Windows 10 กำลังเผชิญในขณะที่เชื่อมต่อกับอินเทอร์เน็ตหลังจากคลื่นลูกใหม่ของแพทช์ที่ออกโดย Microsoft

ทำเครื่องหมาย 'สำคัญ':

MS16-144

MS16-144 ได้รับการเผยแพร่เพื่อแก้ไขข้อบกพร่องมากมายใน Internet Explorer นอกจากนี้ยังแก้ไขข้อบกพร่องบางประการซึ่งมักทำให้เกิดการรั่วไหลของข้อมูลและอาจทำให้เกิดการฝ่าฝืนข้อมูลในไลบรารีวัตถุการเชื่อมโยงหลายมิติของ Windows โปรแกรมปรับปรุงนี้จะรวมอยู่ในการปรับปรุงความปลอดภัยรายเดือนธันวาคมสำหรับ Windows

นี่คือข้อบกพร่องที่เปิดเผยต่อสาธารณชน

• CVE-2016-7282 - ช่องโหว่การเปิดเผยข้อมูลของเบราว์เซอร์ Microsoft
• CVE-2016-7281 - คุณลักษณะการรักษาความปลอดภัยของเบราว์เซอร์ Microsoft บายพาสบั๊ก
• A CVE-2016-7202 - ความผิดปกติของหน่วยความจำสคริปต์เสียหาย

การอัปเดตนี้ได้รับการจัดอันดับเป็น "Patch Now" ซึ่งส่วนใหญ่เป็นเพราะความรุนแรงของปัญหาที่ถูกกำหนดให้แก้ไข MS16-144 จะถูกนำไปใช้กับ IE ทุกรุ่นที่รองรับในปัจจุบัน

MS16-145

MS16-145 ปรับปรุงข้อบกพร่องที่รายงานในเบราว์เซอร์ Edge 'ใหม่และที่ได้รับการปรับปรุง' ของ Microsoft จำนวนข้อบกพร่องที่รายงานนั้นน่าประหลาดใจยิ่งกว่า Internet Explorer ที่ตรวจพบข้อบกพร่อง 11 ข้อ MS16-145 แก้ไขปัญหาที่สำคัญเหล่านี้

• ข้อบกพร่องเครื่องยนต์สคริปต์ปกติห้าข้อ
• ข้อผิดพลาดที่สองของหน่วยความจำเสียหาย
• คุณลักษณะความปลอดภัยบายพาส

MS16-146

MS16-146 มีแนวโน้มที่จะแก้ไขช่องโหว่ Remote Code Execution ที่สำคัญใน Microsoft Graphics Component ของ Windows นอกจากนี้ยังแก้ไขข้อบกพร่องในการเปิดเผยข้อมูล Windows GDI ช่องโหว่ทั้งหมดนี้ถูกรายงานโดยเอกชน โปรแกรมแก้ไขนี้จะแทนที่การปรับปรุงองค์ประกอบกราฟิกของเดือนที่แล้วสำหรับระบบ Windows 10 และ Server 2016 ทั้งหมด

นอกจากนี้ยังเป็นชุดข้อมูลแก้ไขชุดที่สองสำหรับ Windows Security Only หรือ“ roll-up” สำหรับเดือนนี้

MS16-147

MS16-147 มีการเผยแพร่เพื่อจัดการ แต่เพียงผู้เดียวใน Windows Uniscribe มีการกล่าวถึงข้อผิดพลาดในการตั้งค่าสถานการณ์จำลองการเรียกใช้โค้ดจากระยะไกล นั่นคือ ถ้า ผู้ใช้เยี่ยมชมเว็บไซต์ที่สร้างขึ้นเป็นพิเศษหรือเปิดเอกสารที่สร้างขึ้นเป็นพิเศษ แน่นอนว่าเป็นสิ่งที่เราไม่เห็นทุกเดือน

สำหรับผู้ที่ไม่ทราบองค์ประกอบ Uniscribe คือชุดของ API ซึ่งมีไว้เพื่อจัดการการพิมพ์ใน Windows สำหรับภาษาต่าง ๆ

MS16-148

MS16-148 ได้รับการเผยแพร่เพื่อแก้ไขช่องโหว่ของการเรียกใช้โค้ดจากระยะไกล ข้อบกพร่องที่จารึกไว้แบบส่วนตัว 16 ข้อยังคงมีอยู่ใน Microsoft Office ความรุนแรงของข้อผิดพลาดสามารถพิจารณาได้จากข้อเท็จจริงที่ว่าหากปล่อยทิ้งไว้ไม่ได้แก้ไขพวกเขาอาจนำไปสู่สถานการณ์จำลองการดำเนินการรหัสระยะไกลบนระบบเป้าหมาย นี่คือรายการของบกพร่อง:

• ข้อบกพร่องการทุจริตหน่วยความจำที่สี่
• ปัญหาการโหลดด้าน Office OLE DLL
• ข้อผิดพลาดที่เปิดเผยข้อมูล GDI ที่สำคัญพร้อมกับข้อมูลอื่น ๆ

MS16-154

MS16-154 patch เป็น wrapper และแก้ไขข้อบกพร่องที่สำคัญใน Adobe Flash Player ในตัว นี่อาจเป็นปัญหาที่อันตรายที่สุดหากไม่ได้รับการแก้ไข มันบอกว่าจะแก้ไขปัญหา 17 ข้อรวมถึงข้อบกพร่องหนึ่งที่กำลังทำงานอยู่ในป่า ไมโครซอฟท์ได้แนะนำปัจจัยที่ช่วยบรรเทาปัญหานี้อย่างน่าประหลาดใจ มันน่าประหลาดใจเพราะ บริษัท มักจะไม่ทำเช่นนั้น วิธีแก้ปัญหาคือถอนการติดตั้ง Flash อย่างสมบูรณ์

ได้รับรายงานเกี่ยวกับช่องโหว่ zero-day แล้วซึ่งได้รับการจัดการให้เป็นอันตรายต่อระบบ Internet Explorer 32 บิต ดังนั้นนี่คือการอัปเดต“ Patch Now” ที่สำคัญ

มันอยู่:

• ข้อผิดพลาดบัฟเฟอร์สี่ล้น
• ปัญหาความเสียหายของหน่วยความจำห้าข้อที่อาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล

ทำเครื่องหมาย 'สำคัญ':

MS16-149

โปรแกรมแก้ไขวางจำหน่ายแล้วเพื่อแก้ไขปัญหาที่รายงานแบบส่วนตัวสองประเด็นใน Windows

• ข้อบกพร่องในการเปิดเผยข้อมูลของ Windows crypto ที่เกี่ยวข้องกับการจัดการวัตถุในหน่วยความจำ
• ข้อผิดพลาดที่นำไปสู่การยกระดับสิทธิ์ในองค์ประกอบการเข้ารหัสของ Windows

MS16-149 จะถูกเพิ่มลงในการรักษาความปลอดภัยเดือนนี้

MS16-150

นี่คือการปรับปรุงความปลอดภัยสำหรับช่องโหว่เพียงอย่างเดียวซึ่งถูกรายงานเป็นการส่วนตัว MS16-150 เกี่ยวกับปัญหาการคงอยู่ของเคอร์เนลของ Windows ที่อาจกระทบกระเทือนสิทธิของผู้ใช้ ส่วนใหญ่เกิดจากการจัดการวัตถุในหน่วยความจำ

MS16-151

MS16-151 พยายามที่จะยกเครื่องบั๊กเล็กน้อย แต่ละรายงานแบบส่วนตัวและคาดว่าจะทำให้เกิดอันตรายน้อย หนึ่งที่เกี่ยวข้องกับข้อบกพร่อง Win32k EoP ในไดรเวอร์โหมด Windows Kernel ปัญหาอื่น ๆ ที่อยู่คือองค์ประกอบกราฟิก Windows วัตถุที่ผิดพลาดในหน่วยความจำ

MS16-152

MS16-152 เป็นแพตช์รักษาความปลอดภัยสำหรับเคอร์เนลของ Windows และมีเป้าหมายเพื่อจัดการความรับผิด แต่เพียงผู้เดียว เป็นช่องโหว่ที่รายงานโดยเอกชนในเคอร์เนล Windows ที่มีผลกับระบบ Windows 10 และ Server 2016 เท่านั้น ข้อผิดพลาดเป็นที่ทราบกันดีว่าทำให้เกิดการเปิดเผยข้อมูลที่เลวร้ายที่สุด โปรแกรมปรับปรุงนี้จะรวมอยู่กับ Windows roll-up ทุกเดือน

MS16-153

แพทช์นี้จะแก้ไขข้อผิดพลาดการเปิดเผยข้อมูลเดียวยังระบุไว้เป็นการส่วนตัว ข้อผิดพลาดยังคงอยู่ในระบบย่อยไดรเวอร์ Windows เรียกใช้โดยการปรับปรุงระบบไฟล์ทั่วไป (CLFS)

MS16-155

MS16-155 ซ่อมแซม. NET Framework หนี้สิน Microsoft ระบุว่าข้อผิดพลาดนั้น เปิดเผยต่อสาธารณชน แต่ไม่มีการใช้ประโยชน์ อาจเป็นช่องโหว่ที่มีความเสี่ยงต่ำและมีแพ็คเกจการอัพเดทของตัวเอง ดังนั้นจึงได้รับการยกเว้นจากการรวมไว้ในคุณภาพของ Windows และการรักษาความปลอดภัย

นั่นก็เพียงพอแล้วที่คุณต้องรู้เกี่ยวกับการอัปเดตความปลอดภัยของ Patch สุดท้ายในปีนี้ ดังนั้นจนถึงปีหน้า Happy Patching

เรื่องที่เกี่ยวข้องที่คุณควรอ่าน:

• Windows 10 มิถุนายน Security Patch มีการแก้ไขอย่างมากสำหรับ IE, Edge, Flash Player และ Windows OS
• การปรับปรุงแบบสะสม Windows 10 Mobile แก้ไขปัญหาที่ทราบบ้างแล้วและปรับปรุงประสิทธิภาพโดยรวม
• ข้อบกพร่องด้านความปลอดภัยที่เผยแพร่โดย Google ได้รับการแก้ไขโดย Microsoft
• Windows 7 KB3205394 แก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญติดตั้งทันที