Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม ซึ่งได้อัปเดตช่องโหว่ด้านความปลอดภัยทั้งหมด 34 รายการ และช่องโหว่ Zero-Day ของ CPU AMD 1 รายการ
โดยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) 8 รายการที่ได้รับการแก้ไขนั้น มีเพียง 3 รายการที่ Microsoft จัดว่าอยู่ในระดับ Critical แต่รวมแล้วในเดือนนี้มีช่องโหว่ที่มีระดับความรุนแรง Critical ทั้งหมด 4 รายการ ได้แก่ ช่องโหว่ใน Power Platform (Spoofing) 1 รายการ, ช่องโหว่ ใน Internet Connection Sharing (RCE) 2 รายการ และช่องโหว่ใน Windows MSHTML Platform (RCE) 1 รายการ
จำนวนช่องโหว่ในแต่ละหมวดมีดังต่อไปนี้ :
- ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) 10 รายการ
- ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 8 รายการ
- ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) 6 รายการ
- ช่องโหว่ DoS (Denial of Service) 5 รายการ
- ช่องโหว่ของการปลอมแปลง (Spoofing) 5 รายการ
รวมทั้งสิ้น 34 รายการ ไม่รวมช่องโหว่ของ Microsoft Edge 8 รายการซึ่งได้รับการแก้ไขไปแล้วเมื่อวันที่ 7 ธันวาคม 2023
การแก้ไขช่องโหว่ Zero-Day ที่ถูกเปิดเผยออกสู่สาธารณะ
โดยในอัปเดต Patch Tuesday ประจำเดือนธันวาคม Microsoft ได้แก้ไขช่องโหว่ Zero-Day ของ CPU AMD หนึ่งรายการที่ถูกเปิดเผยออกมาในเดือนสิงหาคม 2023
โดยช่องโหว่มีหมายเลข CVE-2023-20588 AMD Speculative Leaks (คะแนน CVSS 5.5 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่แบบ division-by-zero ใน AMD processors บางตัว ที่อาจ return ข้อมูลที่มีความสำคัญได้ ช่องโหว่นี้ถูกค้นพบในเดือนสิงหาคม 2023 ซึ่งทาง AMD ไม่ได้ออกแพตซ์อัปเดต มีเพียงแค่คำแนะนำในการบรรเทาผลกระทบของช่องโหว่ดังกล่าว
การออกแพตซ์อัปเดตด้านความปลอดภัยของบริษัทอื่น ๆ
นอกจากนี้ ผู้ให้บริการรายอื่น ๆ ยังเผยแพร่แพตซ์อัปเดต หรือคำแนะนำด้านความปลอดภัยในเดือนธันวาคม 2023 ได้แก่:
การโจมตีที่เรียกว่า 5Ghoul ช่องโหว่ที่ส่งผลกระทบต่อโทรศัพท์ 5G ที่ใช้ชิป Qualcomm, MediaTek
Atlassian ออกอัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 4 รายการใน Confluence, Jira และ Bitbucket
Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ล่าสุด สำหรับ iPhone รุ่นเก่า และ Apple Watch และ Apple TV บางรุ่น
Cisco ออกอัปเดตเพื่อแก้ไขช่องโหว่ Cisco ASA และ Firepower ที่อนุญาตให้มีการปลอมแปลง (spoofing) ของ IP address
Google ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ที่สำคัญบน Android ในเดือนธันวาคม 2023
SAP ออกอัปเดตเพื่อแก้ไขช่องโหว่ Patch Day ประจำเดือนธันวาคม 2023
Sierra Wireless ได้เผยแพร่คำแนะนำการแก้ไขช่องโหว่ Sierra:21 ที่ส่งผลกระทบต่อ Sierra OT/IoT Routers
การโจมตีที่เรียกว่า SLAM Side-Channel Attack Arm Developer เผยแพร่คำแนะนำการแก้ไขช่องโหว่ที่สามารถขโมยข้อมูลที่มีความสำคัญจาก CPU ที่กำลังจะถูกเผยแพร่เร็ว ๆ นี้ จาก Intel, AMD และ Arm CPU
VMware ออกอัปเดตเพื่อแก้ไขช่องโหว่ Authentication Bypass ใน Cloud Director
WordPress ออกอัปเดตเพื่อแก้ไขช่องโหว่ POP chain ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)
ที่มา : bleepingcomputer
You must be logged in to post a comment.