โดยทั่วไปแล้วผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์จะแนะนำให้ทำการติดตั้งโปรแกรมจากแหล่งที่น่าเชื่อถือเท่านั้นเพื่อป้องกันการแอบแฝงติดตั้งมัลแวร์หรือซอฟต์แวร์ไม่พึงประสงค์ แต่คำแนะนำนี้อาจใช้ไม่ได้แล้วในปัจจุบัน เพราะถึงแม้ว่าโปรแกรมจะมาจากแหล่งที่น่าเชื่อถือแต่บางครั้งมีการแอบติดตั้งซอฟต์แวร์บางอย่างที่ไม่จำเป็นโดยที่ผู้ใช้ไม่ทันสังเกตหรือรู้เท่าไม่ถึงการณ์ โดยกรณีที่เกิดขึ้นล่าสุดมีรายงานว่า ผู้ใช้ Windows 8.1 ที่ทำการติดตั้ง MS16-023 เพื่อแก้ไขช่องโหว่ใน IE11 จะได้ฟังก์ชัน “Upgrade Windows 10” แถมมาให้โดยไม่รู้ตัว
MS16-023: Cumulative Security Update for Internet Explorer (3142015)
MS16-023 เป็น 1 ใน 13 การอัพเดตความปลอดภัยที่ไมโครซอฟท์ออกใน Patch Tuesday เดือนมีนาคม 2559 (ออกเมื่อวันที่ 8) ข้อมูลบนเว็บไซต์ไมโครซอฟท์ระบุว่า MS16-023 จะทำการแก้ไขข้อบกพร่องความปลอดภัยจำนวน 13 จุด โดยข้อบกพร่องความปลอดภัยเหล่านี้มีผลกระทบรุนแรงสูงสุดกับ IE9 และ IE11 บน Windows สำหรับเดสก์ท็อป และมีผลกระทบปานกลางกับ IE9, IE10 และ IE11 บน Windows Server ข้อบกพร่องความปลอดภัยเหล่านี้สามารถใช้ทำการรันมัลแวร์จากระยะไกลได้ถ้าหากผู้ใช้ทำการเปิดหน้าเว็บที่มีมัลแวร์แฝงอยู่ด้วย IE และถ้าหากการโจมตีประสบความสำเร็จผู้โจมตีจะได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของผู้ใช้ที่กำลังใช้งานในขณะที่ถูกโจมตี และสามารถควบคุมระบบได้อย่างเบ็ดเสร็จ
MS16-023 ถูกจัดให้อยู่ในชั้น Important เมื่อเปิด Windows Update (ในตัวอย่างนี้เป็น Windows 8.1 64-บิต) จะมีลักษณะดังรูปด้านล่าง
KB3139929 (บน Windows 8.1 x64 system)
อย่างไรก็ตาม นอกจากแก้ไขข้อบกพร่องความปลอดภัยแล้ว MS16-023 ยังปรับปรุงการทำงานอื่นๆ ดังนี้
- 3144816 XSS filter breaks submission of token for ADAL authentication in Internet Explorer 11
- 3144520 Poor performance in Internet Explorer 11 when you enter characters in text field
- 3144521 Internet Explorer 11 is closed when you use F12 Developer Tools
- 3144522 Users can’t access Internet because proxy settings are overwritten in Internet Explorer 11
- 3144523 Empty textarea loses its closing tag in Internet Explorer 11 after conversion from XML to HTML
- 3146449 Updated Internet Explorer 11 capabilities to upgrade Windows 8.1 and Windows 7
โดย 5 ลำดับแรกเป็นแก้ปัญหาการทำงานของ IE11 ที่ไม่เกี่ยวข้องกับเรื่องความปลอดภัย คือเป็นการปรับปรุงเหล่านี้ช่วยเพิ่มประสิทธิภาพและความน่าเชื่อถือ แต่ตัวที่เป็นปัญหาคือ 3146449 ซึ่งทำการปรับปรุงความสามารถของ IE11 เพื่อการอัพเกรด Windows 8.1 และ Windows 7
KB3139929: MS16-023: Security update for Internet Explorer: March 8, 2016
KB3146449: Updated Internet Explorer 11 capabilities to upgrade Windows 8.1 and Windows 7
ถ้าหากคลิกไปดูรายละเอียดของ 3146449 จะพบว่าการอัพเดตตัวนี้จะเพิ่มฟังก์ชันการทำงานให้กับ IE11 เพื่อช่วยให้ผู้ใช้สามารถเรียนรู้เกี่ยวกับ Windows 10 หรือเริ่มต้นการอัพเกรดไปเป็น Windows 10
KB3146449: Updated Internet Explorer 11 capabilities to upgrade Windows 8.1 and Windows 7
หมายเหตุ: การติดตั้ง 3146449 บน Windows 8.1 นั้นต้องติดตั้ง April 2014 update rollup for Windows 8.1 (2919355) ก่อน ส่วนการติดตั้ง 3146449 บน Windows 7 จะต้องติดตั้ง SP1 ก่อน
ปัญหาของ MS16-023
ประเด็นของ MS16-023 คือ มันทำหน้าที่ทั้งการปรับปรุงความปลอดภัยและการปรับปรุงที่ไม่เกี่ยวกับความปลอดภัยที่ทำให้ผู้ใช้มีทางเลือกที่เลือกได้ยากลำบาก (หรืออาจถึงขั้นเลือกไม่ได้) นั้นคือ ถ้าเลือกความปลอดภัยก็จะได้ฟังก์ชัน Upgrade Windows 10 แถมมาด้วยถึงแม้ว่าจะไม่ต้องการก็ตาม (แน่นอนว่าไม่มีความจำเป็นใดๆ) แต่ถ้าเลือกที่จะไม่เอาฟังก์ชัน Upgrade Windows 10 โดยการไม่ติดตั้ง MS16-023 ก็ต้องเสี่ยงกับการเป็นเป้าหมายของมัลแวร์และแฮกเกอร์
สำหรับความเห็นของผม ถึงแม้ว่าฟังก์ชัน Upgrade Windows 10 ที่ MS16-023 ทำการติดตั้งนั้นจะไม่ร้ายแรงถึงระดับมัลแวร์แต่การ(แอบ)ติดตั้งโดยที่ไม่ขออนุญาตผู้ใช้เป็นเรื่องที่ไม่ถูกต้อง อย่างไรก็ตาม ถ้าหากคุณมีแผนที่จะอัพเกรด (ฟรีสำหรับผู้ใช้ Windows 8.1 ของแท้) เป็น Windows 10 อยู่แล้ว การติดตั้ง MS16-023 ไม่น่าจะสร้างปัญหาอะไรให้กับคุณ แต่ถ้าไม่-คุณคงต้องประเมินสถานการณ์ของตัวเองและเลือกทางที่คิดว่าเหมาะสมกับตัวที่สุด ครับ
ป.ล. สำหรับผู้ใช้ Internet Explorer 10 บน Windows 7 ไมโครซอฟท์หยุดการสนับสนุนไปแล้วเมื่อ 12 มกราคม 2559 ที่ผ่านมา
ข้อมูลอ้างอิง
MS16-023: Cumulative Security Update for Internet Explorer (3142015)
CNET
