Microsoft ออก Patch Tuesday ประจำเดือนธันวาคม 2025 โดยแก้ไขช่องโหว่ Zero-day 3 รายการ และช่องโหว่อื่น ๆ อีก 57 รายการ

Patch Tuesday ประจำเดือนธันวาคม 2025 ของ Microsoft มีการแก้ไขช่องโหว่จำนวน 57 รายการ โดยในจำนวนนี้รวมถึงช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีจริงแล้ว 1 รายการ และที่ถูกเปิดเผยต่อสาธารณะแล้วอีก 2 รายการ

Patch Tuesday รอบนี้ยังได้แก้ไขช่องโหว่ Remote Code Execution ที่มีความรุนแรงระดับ Critical จำนวน 3 รายการ

สำหรับจำนวนช่องโหว่แยกตามหมวดหมู่ของช่องโหว่ มีรายละเอียดดังนี้ :

  • ช่องโหว่ Elevation of Privilege จำนวน 28 รายการ
  • ช่องโหว่ Remote Code Execution จำนวน 19 รายการ
  • ช่องโหว่ Information Disclosure จำนวน 4 รายการ
  • ช่องโหว่ Denial of Service จำนวน 3 รายการ
  • ช่องโหว่ Spoofing จำนวน 2 รายการ

ช่องโหว่ Zero-day จำนวน 3 รายการ โดยมี 1 รายการถูกนำไปใช้โจมตีแล้ว

Patch Tuesday ของเดือนนี้ได้แก้ไขช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้โจมตีจริงแล้ว 1 รายการ และที่ถูกเปิดเผยต่อสาธารณะแล้วอีก 2 รายการ

Microsoft จะจัดประเภทช่องโหว่ว่าเป็น Zero-day ก็ต่อเมื่อมีการเปิดเผยต่อสาธารณะ หรือถูกนำไปใช้โจมตีจริงแล้ว ในขณะที่ยังไม่มีแพตช์อัปเดตแก้ไขอย่างเป็นทางการออกมา

สำหรับช่องโหว่ Zero-day ที่ถูกนำไปใช้โจมตีจริงแล้ว ได้แก่ :

CVE-2025-62221 - ช่องโหว่ Windows Cloud Files Mini Filter Driver Elevation of Privilege

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ Windows Cloud Files Mini Filter Driver Elevation of Privilege ซึ่งเป็นช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริงแล้ว

Microsoft ระบุว่า "ช่องโหว่ ประเภท Use after free ใน Windows Cloud Files Mini Filter Driver ทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบอยู่แล้ว สามารถยกระดับสิทธิ์ภายในเครื่องได้"

Microsoft ระบุอีกว่า หากโจมตีช่องโหว่ดังกล่าวได้สำเร็จ จะช่วยให้ผู้โจมตีได้รับสิทธิ์ระดับ SYSTEM

Microsoft ได้ให้เครดิตการค้นพบช่องโหว่ดังกล่าวกับ Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) แต่ไม่ได้เปิดเผยรายละเอียดว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีด้วยวิธีใด

ช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ ได้แก่ :

CVE-2025-64671 - ช่องโหว่ GitHub Copilot for Jetbrains Remote Code Execution

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ของ GitHub Copilot ที่ถูกเปิดเผยต่อสาธารณะ ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งต่าง ๆ ภายในเครื่องได้

Microsoft ระบุว่า "การจัดการกับอักขระพิเศษที่ใช้ในคำสั่งอย่างไม่ถูกต้อง ('Command Injection') ใน Copilot อาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถเรียกใช้โค้ดภายในเครื่องได้"

Microsoft ระบุว่าช่องโหว่ดังกล่าวสามารถถูกโจมตีได้ผ่านทาง Cross Prompt Injection ในไฟล์ที่ไม่น่าเชื่อถือ หรือเซิร์ฟเวอร์ MCP

Microsoft ระบุเพิ่มเติมว่า "ผ่านทาง Cross Prompt Inject ที่เป็นอันตรายในไฟล์ที่ไม่น่าเชื่อถือ หรือเซิร์ฟเวอร์ MCP ผู้โจมตีสามารถเรียกใช้คำสั่งเพิ่มเติมได้ โดยการต่อคำสั่งเหล่านั้นเข้าไปท้ายคำสั่งที่ได้รับอนุญาตอยู่แล้วในการตั้งค่า auto-approve ของ terminal ผู้ใช้งาน"

Microsoft ได้ยกเครดิตการค้นพบนี้ให้กับ Ari Marzuk เป็นผู้ที่เพิ่งเปิดเผยช่องโหว่ดังกล่าวในรายงานที่ชื่อว่า "IDEsaster: A Novel Vulnerability Class in AI IDEs"

CVE-2025-54100 - ช่องโหว่ PowerShell Remote Code Execution

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ใน PowerShell ซึ่งอาจส่งผลให้ script ที่ฝังอยู่ในหน้าเว็บถูกเรียกใช้ทำงาน เมื่อหน้านั้นถูกดึงข้อมูลมาด้วยคำสั่ง Invoke-WebRequest

Microsoft ระบุว่า "การจัดการกับอักขระพิเศษที่ใช้ในคำสั่งอย่างไม่ถูกต้อง ('Command Injection') ใน Windows PowerShell อาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถเรียกใช้โค้ดภายในเครื่องได้"

Microsoft ได้ปรับเปลี่ยนการทำงานโดยจะแสดงข้อความเตือนเมื่อ PowerShell มีการใช้คำสั่ง 'Invoke-WebRequest' เพื่อแนะนำให้ผู้ใช้เติมพารามิเตอร์ -UseBasicParsing เข้าไปเพื่อป้องกันการเรียกใช้โค้ด

Microsoft ได้ยกเครดิตการค้นพบช่องโหว่ดังกล่าวให้กับนักวิจัยหลายท่าน ได้แก่ Justin Necke, DeadOverflow, Pēteris Hermanis Osipovs, Anonymous, Melih Kaan Yıldız และ Osman Eren Güneş

อัปเดตล่าสุดจากบริษัทอื่น ๆ

ผู้ผลิตรายอื่นที่ได้ปล่อยอัปเดต หรือคำแนะนำด้านความปลอดภัยในเดือนธันวาคม 2025 ได้แก่ :

  • Adobe ออกแพตซ์อัปเดตความปลอดภัยสำหรับ ColdFusion, Experience Manager, DNG SDK, Acrobat Reader และ Creative Cloud Desktop
  • Fortinet ออกแพตซ์อัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงแก้ไขช่องโหว่ระดับ critical ที่ช่วยให้ผู้โจมตีสามารถ Bypass การตรวจสอบยืนยันตัวตนในระบบล็อกอิน FortiCloud SSO ได้
  • Google ออกแพตซ์อัปเดตความปลอดภัยของ Android ประจำเดือนธันวาคม ซึ่งรวมถึงการแก้ไขช่องโหว่ 2 รายการที่ถูกนำไปใช้โจมตีจริงแล้ว
  • Ivanti ออกแพตซ์อัปเดตความปลอดภัยในรอบ Patch Tuesday เดือนธันวาคม 2025 ซึ่งรวมถึงการแก้ไขช่องโหว่ Stored XSS ที่มีคะแนนความรุนแรง 9.6/10 ใน Ivanti Endpoint Manager
  • React ออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ RCE ระดับ critical ใน React Server Components ซึ่งช่องโหว่ดังกล่าวมีชื่อเรียกว่า React2Shell และกำลังถูกนำไปใช้โจมตีเป็นวงกว้างในขณะนี้
  • SAP ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนธันวาคมสำหรับผลิตภัณฑ์หลายรายการ รวมถึงการแก้ไขช่องโหว่ Code Injection ที่มีคะแนนความรุนแรง 9.9/10 ใน SAP Solution Manager

ที่มา : bleepingcomputer