กูเกิลเปิดเผยช่องโหว่วินโดว์ใหม่ที่ไมโครซอฟท์ยังไม่ได้แก้ไข

ไมโครซอฟท์เลือนการอับเดทช่องโหว่ SMB ซึ่งถูกค้นพบโดยกูเกิลโครงการซีโร (Google Project Zero) ในเดือนกันยายนปีที่แล้ว หลังจากนั้นในเดือนพฤศจิกายนสมาชิกของโครงการซีโรพบช่องโหว่ในไฟล์ไดนามิคลิ้งไลบรารี่ gdi32.dll ซึ่งเป็นซอฟท์แวย์เกี่ยวกับองค์ประกอบทางกราฟฟิก และการเลือนในอับเดทของไมโครซอฟท์ของเดือนกุมภาพันธุ์ทำให้ระบบปฏิบัติการวินโดว์มีช่องโหว์ซีโรเดย์ถึงสองช่องในขณะนี้

 จริง ๆ แล้วช่องโหว่ในไฟล์ไลบรารี่  gdi32.dll ถูกค้นพบครั้งแรกในเดือนมีนาคมปีที่แล้ว และทางบริษัทไมโครซอฟท์ได้พัฒนาซอฟท์แวย์อับเดทในเดือนมิถุนายน 2016 MS16-074 แต่ดูเหมือนว่าครั้งนั้นทางไมโครซอฟท์ไม่ได้ทำการแก้ไขที่ดีพอ เพราะในเดือนพฤศจิกายนทางกูกเกิลได้แจ้งทางไมโครซอฟท์ช่องโหว่ยังคงมีอยู่ในไลบรารี่ไฟล์นี้และให้เวลาไมโครซอฟท์ 90 ก่อนที่จะเปิดเผยรายละเอียดการใช้ช่องโหว่นี้ซึ่งได้ถูกเปิดเผยแล้ว

การเปิดเผยเป็นเหมือนดาบสองคม ประการแรกเป็นการทำงานที่โปร่งใสทำให้ทุกคนรู้ถึงช่องโหว่และศึกษามันเป็นสิ่งดี และเป็นการบีบคั่นให้ทางบริษัทผู้ผลิตรีบเร่งแก้ไขช้องโหว่นั้น แต่ข้อเสียก็คือผู้ไม่หวังดีอาจจะใช้ข้อมูลที่เปิดเผยในการใช้แฮกเครื่องคอมพิวเตอร์ที่มีช่องโหว่ ข้าวดีสำหรับช่องโหว่นี้ก็คือเป็นช่องโหว่ที่ไม่ร้ายแรงมากเพราะถ้าใครจะใช้ช่องโหว่นี้จะต้องล็อกเข้าไปในคอมพิวเตอร์เครื่องนั้นก่อน

แต่อย่างไรก็ตามขณะนี้ไมโครซอฟท์มีช่องโหว่สองช่องที่ผู้ไม่หวังดีสามารถนำไปใช้ในทางไม่ดีได้ เราหวังว่าไมโครซอฟท์จะสามารถส่งอับเดทออกได้ในเดือนหน้าและจะรวมถึงสองช่องโหว์นี้ด้วย เรายังไม่ได้รับลายระเอียดของเหตุผลว่าทำไมทางไมโครซอฟท์ต้องเลือนการอับเดทไปหนึ่งเดือนซึ่งเป็นสิ่งที่ไม่ค่อยเห็นว่าบริษัทปฏิบัติเช่นนี้มาก่อน

 


 

ที่มา กูเกิลโครงการซีโร (Google Project Zero) 

 

error: กด RightClick แทน