เมื่อวานนี้ไมโครซอฟท์ก็ได้ปล่อยแพตช์อุดช่องโหว่ที่ถูกใช้ถล่มกูเกิลและบริษัทอื่นๆ รวม 33 บริษัทแล้ว แต่ใน Microsoft Security Response Center (MSRC) ไมโครซอฟท์ได้แจ้งว่าช่องโหว่ดังกล่าวตรงกับช่องโหว่ที่เคยได้รับรายงานตอนต้นเดือนกันยายนเมื่อปีที่แล้ว หลายคนคงอดคิดไม่ได้ว่า หากไมโครซอฟท์แพตช์ช่องโหว่นี้เร็วกว่านี้ อินเทอร์เน็ตเอ็กซ์พลอเรอร์คงไม่กลายเป็นหนึ่งในช่องทางที่เหล่าแฮกเกอร์ชาวจีนใช้ถล่มบริษัทเหล่านั้น
Ars Technica ได้สอบถามไมโครซอฟท์ไป ได้คำตอบมาว่า เมื่อชองโหว่ดังกล่าวได้รับการเปิดเผยในปลายเดือนธันวาคมปีที่แล้วยังไม่มีการโจมตีในวงกว้างแต่อย่างไร ไมโครซอฟท์จึงตัดสินใจจะปล่อยแพตช์นี้ในรอบเดือนกุมภาพันธ์ แต่ปรากฏว่าการโจมตีนั้นเกิดขึ้นก่อนกำหนดการณ์ปล่อยแพตช์ดังกล่าว ไมโครซอฟท์จึงปล่อยแพตช์ดังกล่าวในลักษณะ out of band security เขายังกล่าวเสริมอีกว่า ไมโครซอฟท์รับรู้ถึงช่องโหว่ต่างๆ มากมาย และก็คงไม่รู้ว่าช่องโหว่อันไหนจะถูกใช้โจมตี
ยังมีอีกหลากความคิดเห็นที่ Ars Technica ได้รับมา บริษัท Qualys ได้ให้ข้อคิดเห็นว่า บริษัทตนทราบว่าไมโครซอฟท์รับรู้ช่องโหว่นี้ตั้งแต่สิ้นเดือนสิงหาคมปีที่แล้ว การใช้เวลาแก้ไขช่องโหว่ดังกล่าวถึง 5 เดือนนั้นนานเกินกว่าเวลาเฉลี่ยในการปล่อยชุดอัพเดตอย่างเร่งด่วนคือประมาณ 90 วัน หากไมโครซอฟท์ปล่อยแพตช์อุดช่องโหว่เร็วนี้น่าจะยับยั้ง นอกจากนั้นยังเสริมว่า การที่ไมโครซอฟท์ปล่อยแพตช์ไม่ค่อยทันเวลา ส่งผลให้กูเกิลอัพเดตแพตช์ล่าช้าไปด้วย ถึงแม้ช่องโหว่นั้นจะส่งผลเสียหายรุนแรงควรแก่การรีบอุดก็ตาม
ส่วนบริษัท IOActive ได้ให้ข้อคิดเห็นว่า จากการได้พูดคุยกับ 33 บริษัทที่ถูกโจมตีนั้น ไม่เชื่อว่าการโจมตีนั้นจะใช้ช่องโหว่ของอินเตอร์เน็ตเอ็กซ์พลอเรอร์เพียงอย่างเดียว สิ่งที่พวกเราสนใจคือใคร [ที่โจมตี] และทำไม [ต้องโจมตี] ด้วย ไม่ใช่แค่วิธีการที่ใช้โจมตีอย่างไรเท่านั้น
ที่มา: Ars Technica
Comments
แก้คำผิดนิดนึง 'อย่างเร็งด่วน' ,,
@mamuang
คุณ nuntawat แปลได้เป็นธรรมชาติขึ้นเยอะมากๆเลยนะครับเนี่ย อ่านเพลินๆ ;)
ประโยคแสบ ".. ไมโครซอฟท์รับรู้ถึงช่องโหว่ต่างๆ มากมาย และก็คงไม่รู้ว่าช่องโหว่อันไหนจะถูกใช้โจมตี .." ชอบจริงๆ ;P
my blog
เอ่อ... ถ้าอุดช่องโหว่ทุกช่องเนี่ย มันจะทำให้ Windows กลายเป็น OS ที่สมบูรณ์แบบเกินไปใช่ไหม?
ถึงต้องรอให้รู้ว่าจะมีใครโจมตีก่อนค่อยออกมาอุด...
@ Virusfowl
I'm not a dev. not yet a user.
คนไม่ใช่ทำอะไรก็ผิดซะงั้น
ก็พอเข้าใจว่ามันไม่มีอะไรที่สมบูรณ์แบบอยู่แล้ว แต่บางทีpatchสำคัญๆก็น่าจะอัพไวๆหน่อยนะ
จุดด้อยของ M$ ก็คืออัพเดทตามระยะเวลาเนี่ยแหละครับ ไม่ว่าจะเป็น Windows, Office, IE, ฯลฯ
ผมไม่แน่ใจ แต่การที่ไมโครซอฟท์เปลี่ยนมาอัพเดตตามระยะเวลานะน่าจะช่วยผู้ดูแลระบบให้สามารถดูแลคอมพิวเตอร์ในระบบได้ง่ายขึ้น ถ้าเป็นอย่างงั้นจริงก็น่าจะอัพเดตเป็นช่วงเวลาต่อไป แต่พวกอัพเดตด้านความปลอดภัยควรต้องปล่อยออกมาให้เร็วที่สุดหลังจากค้นพบช่องโหว่ดังกล่าว
แต่มันตรวจอัปเดททุกวัน(default) เหมือน antivirus นี้สิครับ
ไม่เห็นเหมือนที่ CHIP โม้ไว้เลย
เดาว่า MS น่าจะอยากแก้บักอยู่ แต่ทำไม่ได้อย่างรวดเร็วเพราะปัญหาทางเทคนิค (พูดง่ายๆคือไม่มีปัญญา)
เช่นคนทำ IE ย้ายไปโครงการที่สำคัญกว่า หรือโค้ดเขียนไว้เก่าแก่หมักหมมจนสางไม่ถูกเวลามีช่องโหว่ เพราะไม่มีโปรแกรมเมอร์ที่เวิร์กในโค้ดนั้นๆ อยู่ ต่างจาก Firefox ที่แทบทุกไฟล์น่าจะมีบางคนเพิ่งอ่านไปเมื่อวาน
คาดว่า IE/Office น่าจะมีส่วนที่ actively develop ซึ่งไม่ใช่ส่วนที่เกิดปัญหา (network) แต่เป็นพวก UI, fancy feature ต่างๆ ไม่เหมือนโค้ดโอเพนซอร์สที่ชอบรื้อ engine กันบ่อยๆ เดาว่าที่มี bug แถวๆ UI แล้ว IE/Office จะแก้ได้รวดเร็ว
จริงๆคงอย่างที่เค้าว่า
ช่องโหว่มันมีมากมาย ไม่รุ้หรอกว่าอันไหนจะถูกใช้โจมตี
และไม่ใช่แค่ไออี ที่ถูกนำมาใช้โจมตี
ประเด็นคือ ใครทำ และทำทำไม มากกว่า
17-year-old บั๊ก
บีเบี้ยวกับบีบึ้ง
เห็นนานและ ยังไม่ได้เขียนข่าวนี้เลย - -