Microsoft ประกาศเตือนผู้ใช้ Internet Explorer หลังพบช่องโหว่แบบ Zero Day ที่ยังแก้ไขไม่ได้

Microsoft ออกมาประกาศเตือนผู้ใช้ว่ามีการค้นพบช่องโหว่อันตรายแบบ Zero Day ในโปรแกรมเว็บเบราว์เซอร์ Internet Explorer

ช่องโหว่แบบ Zero-day ใช้เรียกช่องโหว่ที่แฮกเกอร์ค้นพบ และใช้ประโยชน์จนกระทั่งผู้พัฒนารู้ตัว จนสามารถอัปเดตเพื่อปิดช่องโหว่ดังกล่าวได้

ช่องโหว่ Zero Day นี้มีหมายเลขอ้างอิงช่องโหว่ความปลอดภัย CVE-2020-0674 เป็นช่องโหว่ที่เกิดขึ้นได้จากปัญหา Memory corruption ของระบบ Scripting engine ที่ Internet Explorer ใช้ในการทำงาน ซึ่งแฮกเกอร์สามารถใช้ช่องโหว่นี้ในการรันคำสั่งเพื่อโจมตีเป้าหมายได้

การติดตั้งโค้ดจากระยะไกล (Remote-code execution (RCE)) ผ่านช่องโหว่นี้ มีผลต่อ Internet Explorer เวอร์ชัน 9, 10 และ 11 ทั้งบนระบบปฏิบัติการ Windows สำหรับ Desktop และเซิร์ฟเวอร์ รวมไปถึง Windows 7 ที่ทาง Microsoft ยุติการสนับสนุนไปแล้วด้วย โดยขั้นตอนการโจมตีที่แฮกเกอร์ใช้ คือ หลอกล่อให้เหยื่อเข้าไปยังเว็บไซต์อันตรายผ่าน Internet Explorer หรือเชิญชวนให้คลิกลิงก์ที่แนบมากับอีเมล

ปัญหาก็คือ ที่ผ่านมา Microsoft จะประกาศปัญหาช่องโหว่แบบ Zero Day พร้อมกับแนะนำให้ผู้ใช้อัปเดตเพื่อปิดช่องโหว่ดังกล่าวลงไปในเวลาเดียวกัน แต่สำหรับครั้งนี้ ช่องโหว่ CVE-2020-0674 ยังไม่ได้รับการแก้ไข แต่ต้องรอจนกว่าจะถึงรอบการอัปเดตครั้งถัดไป ซึ่งตรงกับวันที่ 11 กุมภาพันธ์ 2562

ใครที่ยังใช้งาน Internet Explorer อยู่ ระหว่างนี้ก็ควรเปลี่ยนไปใช้เว็บเบราว์เซอร์ตัวอื่นก่อนเพื่อความปลอดภัย