Patch Tuesday ประจำเดือนพฤศจิกายน 2025 ของ Microsoft อัปเดตความปลอดภัยสำหรับช่องโหว่ 63 รายการ รวมถึงช่องโหว่ zero-day 1 รายการที่กำลังถูกใช้ในการโจมตี
Patch Tuesday ในรอบนี้ได้แก้ไขช่องโหว่ระดับ "Critical" จำนวน 4 รายการ โดยมี 2 รายการเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution), มี 1 รายการเป็นช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) และอีก 1 รายการเป็นช่องโหว่การเปิดเผยข้อมูล (Information Disclosure)
จำนวนช่องโหว่ในแต่ละประเภท มีดังต่อไปนี้ :
- ช่องโหว่ประเภท Elevation of Privilege จำนวน 29 รายการ
- ช่องโหว่ประเภท Security Feature Bypass จำนวน 2 รายการ
- ช่องโหว่ประเภท Remote Code Execution จำนวน 16 รายการ
- ช่องโหว่ประเภท Information Disclosure จำนวน 11 รายการ
- ช่องโหว่ประเภท Denial of Service จำนวน 3 รายการ
- ช่องโหว่ประเภท Spoofing จำนวน 2 รายการ
จำนวนช่องโหว่ดังกล่าวไม่รวมช่องโหว่ของ Microsoft Edge และ Mariner ที่ได้รับการแก้ไขไปแล้วเมื่อช่วงต้นเดือนที่ผ่าน
วันอังคารที่ 11 พฤศจิกายนที่ผ่านมา ยังเป็นวันแรกของการอัปเดตความปลอดภัยแบบขยายเวลา (Extended Security Update หรือ ESU) สำหรับ Windows 10 อีกด้วย ดังนั้น หากผู้ใช้งานยังคงใช้ระบบปฏิบัติการที่ไม่ได้รับการ Support แล้ว ขอแนะนำให้อัปเกรดเป็น Windows 11 หรือลงทะเบียนเข้าร่วมโปรแกรม ESU
สำหรับผู้ที่กำลังประสบปัญหาในการลงทะเบียนเข้าร่วมโปรแกรม ทาง Microsoft ได้ปล่อยอัปเดตแบบ out-of-band เพื่อแก้ไข bug ที่เกี่ยวกับการลงทะเบียนแล้ว
ช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีจริง 1 รายการ
Patch Tuesday ประจำเดือนนี้แก้ไขช่องโหว่ zero-day 1 รายการใน Windows Kernel ที่กำลังถูกใช้ในการโจมตี
Microsoft จัดประเภทช่องโหว่ zero-day ว่าเป็นช่องโหว่ที่ถูกเปิดเผยข้อมูลออกสู่สาธารณะ หรือถูกใช้ในการโจมตีจริง ในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ
CVE-2025-62215 - ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) ใน Windows Kernel
Microsoft ได้แก้ไขช่องโหว่ของ Windows Kernel ที่กำลังถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์เป็น SYSTEM บนอุปกรณ์ Windows
Microsoft ระบุว่า "การดำเนินการพร้อมกัน โดยใช้ทรัพยากรที่ใช้ร่วมกันซึ่งมีการ synchronization ที่ไม่เหมาะสม หรือที่เรียกว่า 'race condition' ใน Windows Kernel ทำให้ผู้โจมตีที่ได้รับ authorized สามารถยกระดับสิทธิ์ในระดับ Local ได้"
Microsoft ระบุเพิ่มเติมว่า ช่องโหว่ดังกล่าวกำหนดให้ผู้โจมตีต้องอาศัยจังหวะ 'Race Condition' การทำงานกับระบบให้สำเร็จเสียก่อน ซึ่งจะทำให้พวกเขาได้รับสิทธิ์ในระดับ SYSTEM
Microsoft ให้เครดิตการค้นพบช่องโหว่นี้แก่ Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) แต่ไม่ได้เปิดเผยว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีอย่างไร
อัปเดตล่าสุดจากบริษัทอื่น ๆ
บริษัทอื่น ๆ ที่ปล่อยอัปเดต หรือคำแนะนำในเดือนพฤศจิกายน 2025 ได้แก่ :
- Adobe ออกแพตซ์อัปเดตความปลอดภัยสำหรับ InDesign, InCopy, PhotoShop, Illustrator, Substance 3D, Pass และ Adobe Format
- Cisco ออกแพตซ์อัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco ASA, Unified Contact Center และ Identity services นอกจากนี้ Cisco ยังเตือนในเดือนนี้ว่ามีการค้นพบการโจมตีรูปแบบใหม่ที่ใช้การโจมตีจากช่องโหว่เก่า
- นักพัฒนา expr-eval ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ RCE (Remote Code Execution) ที่มีความรุนแรงระดับ critical ในไลบรารี JavaScript
- Fortinet ออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่การยกระดับสิทธิ์ (elevation of privileges) ที่มีความรุนแรงระดับปานกลางใน FortiOS
- Google ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายนของ Android พร้อมการแก้ไขช่องโหว่ 2 รายการ
- Ivanti ออกแพตซ์อัปเดตความปลอดภัยซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนพฤศจิกายน 2025
- แพตซ์อัปเดตความปลอดภัยของ runC แก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถ escape Docker และ Kubernetes ได้
- QNAP ออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ zero-day จำนวน 7 รายการ ที่ถูกใช้ในการแฮ็กอุปกรณ์ NAS ระหว่างการแข่งขันการแฮ็กในงาน Pwn2Own Ireland 2025
- SAP ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายนสำหรับผลิตภัณฑ์หลายรายการ รวมถึงการแก้ไขช่องโหว่ที่ใช้ข้อมูล hardcoded credentials ซึ่งมีความรุนแรง 10/10 ใน SQL Anywhere Monitor
- Samsung ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายน พร้อมการแก้ไขช่องโหว่ 25 รายการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.