Patch Tuesday ประจำเดือนมีนาคม 2026 ของ Microsoft มาพร้อมกับการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ 79 รายการ รวมถึงช่องโหว่ Zero-day ที่ถูกเปิดเผยออกสู่สาธารณะแล้วจำนวน 2 รายการ
Patch Tuesday รอบนี้ยังได้แก้ไขช่องโหว่ระดับ Critical อีก 3 รายการ โดย 2 รายการเป็นช่องโหว่ Remote Code Execution และอีก 1 รายการเป็นช่องโหว่ Information Disclosure
จำนวนช่องโหว่ในแต่ละหมวดหมู่มีรายละเอียดดังนี้ :
- ช่องโหว่ Elevation of Privilege 46 รายการ
- ช่องโหว่ Security Feature Bypass 2 รายการ
- ช่องโหว่ Remote Code Execution 18 รายการ
- ช่องโหว่ Information Disclosure 10 รายการ
- ช่องโหว่ Denial of Service 4 รายการ
- ช่องโหว่ Spoofing 4 รายการ
จำนวนช่องโหว่ไม่รวมถึงช่องโหว่บน Microsoft Edge จำนวน 9 รายการ รวมถึงช่องโหว่ใน Mariner, Payment Orchestrator Service, Azure และ Microsoft Devices Pricing Program ที่ได้รับการแก้ไขไปแล้วเมื่อช่วงต้นเดือนที่ผ่านมา
ช่องโหว่ Zero-day 2 รายการ และช่องโหว่บน Microsoft Office
Patch Tuesday ประจำเดือนนี้ได้แก้ไขช่องโหว่ Zero-day ที่ถูกเปิดเผยออกสู่สาธารณะแล้วจำนวน 2 รายการ โดยที่ยังไม่มีรายงานว่ามีช่องโหว่ใดถูกนำไปใช้ในการโจมตีจริง
Microsoft จัดประเภทช่องโหว่ Zero-day ว่าเป็นช่องโหว่ที่มีการเปิดเผยข้อมูลต่อสาธารณะ หรือกำลังถูกนำไปใช้โจมตีจริง ในขณะที่ยังไม่มีแพตช์แก้ไขอย่างเป็นทางการ
ช่องโหว่ Zero-day ที่เปิดเผยต่อสาธารณะทั้ง 2 รายการ ได้แก่:
CVE-2026-21262 - ช่องโหว่ SQL Server Elevation of Privilege
Microsoft ได้ทำการแพตช์แก้ไขช่องโหว่การยกระดับสิทธิ์บน SQL Server ที่ถูกเปิดเผยออกสู่สาธารณะ ซึ่งช่องโหว่นี้สามารถทำให้ผู้โจมตีได้รับสิทธิ์ระดับ SQLAdmin ได้
Microsoft อธิบายว่า "การควบคุมการเข้าถึงที่ไม่เหมาะสมใน SQL Server ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถยกระดับสิทธิ์ผ่านเครือข่ายได้"
Microsoft ได้ให้เครดิตกับ Erland Sommarskog ในฐานะผู้ค้นพบช่องโหว่นี้ ซึ่งเขาระบุว่า ช่องโหว่ดังกล่าวถูกนำมาเปิดเผยครั้งแรกในบทความที่ชื่อว่า "Packaging Permissions in Stored Procedures"
CVE-2026-26127 - ช่องโหว่ .NET Denial of Service
Microsoft ได้ทำการแพตช์แก้ไขช่องโหว่ .NET Denial of Service ที่ถูกเปิดเผยออกสู่สาธารณะ
Microsoft อธิบายว่า "ช่องโหว่ Out-of-bounds read ใน .NET ทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถทำให้เกิดการปฏิเสธการให้บริการผ่านเครือข่ายได้"
ช่องโหว่นี้ได้รับการค้นพบโดยนักวิจัยที่ไม่ประสงค์ออกนาม
Microsoft ยังได้แก้ไขช่องโหว่ประเภท Remote Code Execution อีก 2 รายการ (CVE-2026-26110 และ CVE-2026-26113) ซึ่งทั้งสองรายการเกิดขึ้นใน Microsoft Office และสามารถถูกโจมตีได้ผ่านทางหน้าต่างแสดงตัวอย่าง ดังนั้น ผู้ใช้งานจึงควรให้ความสำคัญกับการอัปเดตแอปพลิเคชันดังกล่าวเป็นอันดับแรก
สิ่งที่น่าสนใจเป็นพิเศษคือ ช่องโหว่ประเภทการเปิดเผยข้อมูลบน Microsoft Excel (CVE-2026-26144) เนื่องจากช่องโหว่นี้อาจถูกนำไปใช้เพื่อลักลอบขโมยข้อมูลผ่านทาง Microsoft Copilot ได้
Microsoft อธิบายว่า "ผู้โจมตีที่สามารถเจาะช่องโหว่นี้ได้สำเร็จ อาจทำให้ Copilot Agent Mode ดึงข้อมูลออกไปผ่านทางเครือข่าย ซึ่งนำไปสู่การโจมตีเพื่อเปิดเผยข้อมูลได้โดยที่เหยื่อไม่จำเป็นต้องคลิกใด ๆ"
อัปเดตล่าสุดจากบริษัทอื่น ๆ
ผู้จำหน่ายรายอื่น ๆ ที่ได้ปล่อยอัปเดต หรือคำแนะนำด้านความปลอดภัยในเดือนมีนาคม 2026 ได้แก่:
- Adobe ออกแพตซ์อัปเดตความปลอดภัยสำหรับ Commerce, Illustrator, Substance 3D Painter, Acrobat Reader, Premiere Pro และอื่น ๆ โดยยังไม่มีช่องโหว่ใดถูกระบุว่ามีการนำไปใช้ในการโจมตีจริง
- Cisco ออกแพตซ์อัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ
- Fortinet ออกแพตซ์อัปเดตความปลอดภัยสำหรับ FortiOS, FortiPAM และ FortiProxy
- Google ปล่อยแถลงการณ์ด้านความปลอดภัยของ Android ประจำเดือนมีนาคม ซึ่งได้แก้ไขช่องโหว่ Zero-day บน Qualcomm display component ที่กำลังถูกนำไปใช้ในการโจมตีจริง
- HPE ออกแพตซ์อัปเดตความปลอดภัยแก้ไขช่องโหว่หลายรายการใน HPE Aruba Networking AOS-CX
- SAP ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนมีนาคมสำหรับผลิตภัณฑ์หลายรายการ รวมถึงการแก้ไขช่องโหว่ระดับ Critical 2 รายการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.