Microsoft ออกแพตซ์อัปเดตประจำเดือนพฤษภาคม 2026 แก้ไขช่องโหว่ 120 รายการ ไม่มีช่องโหว่ Zero-day

วันอังคารที่ 12 พฤษภาคมที่ผ่านมา Microsoft ออก Patch Tuesday ประจำเดือนพฤษภาคม 2026 ซึ่งมาพร้อมกับการอัปเดตด้านความปลอดภัยสำหรับแก้ไขช่องโหว่จำนวน 120 รายการ และไม่มีการเปิดเผยช่องโหว่แบบ Zero-day แต่อย่างใด

โดย Patch Tuesday รอบนี้ได้มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 17 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution จำนวน 14 รายการ, ช่องโหว่ Elevation of Privilege จำนวน 2 รายการ และช่องโหว่ Information Disclosure จำนวน 1 รายการ

จำนวนช่องโหว่ในแต่ละประเภทมีรายละเอียดดังต่อไปนี้

  • ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) จำนวน 61 รายการ
  • ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) จำนวน 6 รายการ
  • ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) จำนวน 31 รายการ
  • ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) จำนวน 14 รายการ
  • ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) จำนวน 8 รายการ
  • ช่องโหว่การปลอมแปลง (Spoofing) จำนวน 13 รายการ

จำนวนช่องโหว่เหล่านี้ไม่รวมถึงช่องโหว่ของ Mariner, Azure, Copilot, Microsoft Teams และ Microsoft Partner Center ที่ทาง Microsoft ได้แก้ไขไปแล้วเมื่อช่วงต้นเดือนที่ผ่านมา นอกจากนี้ยังมีช่องโหว่ใน Microsoft Edge/Chromium อีก 131 รายการที่ Google ได้แก้ไขไปในเดือนนี้ ซึ่งไม่ได้ถูกนับรวมไว้ด้วยเช่นกัน

ช่องโหว่ที่น่าสนใจ

Microsoft ไม่ได้เปิดเผยช่องโหว่แบบ Zero-day ใด ๆ ใน Patch Tuesday ของเดือนนี้ อย่างไรก็ตาม มีช่องโหว่บางส่วนที่ได้รับการแก้ไข ซึ่งผู้ดูแลระบบไอที และระบบด้านความปลอดภัยควรทราบไว้

รวมถึง Microsoft ได้แก้ไขช่องโหว่หลายรายการใน Microsoft Office, Word และ Excel ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่เหล่านี้จะถูกใช้ในการโจมตีผ่านการเปิดไฟล์ที่เป็นอันตราย ซึ่งสามารถส่งผลให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เนื่องจากช่องโหว่หลายรายการในกลุ่มนี้สามารถถูกใช้ในการโจมตีผ่าน Preview pane ได้ จึงขอแนะนำให้ทำการอัปเดต Microsoft Office โดยเร็วที่สุด โดยเฉพาะหากมีการรับไฟล์แนบอยู่เป็นประจำ

สามารถดูรายชื่อช่องโหว่ของ Microsoft Office, Word และ Excel ได้ในรายงาน Patch Tuesday ประจำเดือนพฤษภาคม 2026

ช่องโหว่อื่น ๆ ที่น่าสนใจ ได้แก่

  • CVE-2026-35421 - Windows GDI Remote Code Execution Vulnerability: ช่องโหว่นี้สามารถถูกนำมาใช้ในการโจมตีได้ผ่านการเปิดไฟล์ Enhanced Metafile (EMF) ที่เป็นอันตรายโดยใช้โปรแกรม Microsoft Paint
  • CVE-2026-40365 - Microsoft SharePoint Server Remote Code Execution Vulnerability: ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว จะสามารถทำการโจมตีผ่านเครือข่ายเพื่อเรียกใช้โค้ดบนเซิร์ฟเวอร์ SharePoint จากระยะไกลได้
  • CVE-2026-41096 - Windows DNS Client Remote Code Execution Vulnerability: เซิร์ฟเวอร์ DNS ที่ถูกควบคุมโดยผู้โจมตีอาจส่ง DNS response ที่สร้างขึ้นมาเป็นพิเศษไปยังระบบ Windows ที่มีช่องโหว่ ซึ่งจะส่งผลให้ DNS Client ประมวลผลการตอบกลับผิดพลาด และทำให้หน่วยความจำเสียหาย ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดบนระบบที่มีช่องโหว่จากระยะไกลได้

การอัปเดตล่าสุดจากบริษัทอื่น ๆ

บริษัทอื่น ๆ ที่ได้ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนพฤษภาคม 2026 ได้แก่

  • Adobe ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ After Effects, Premiere Pro, Media Encoder, Commerce, Illustrator และอื่น ๆ
  • AMD ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่การยกระดับสิทธิ์ใน cache การทำงานของซีพียู (op/µop) บนสถาปัตยกรรม Zen 2
  • Apple ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ macOS, iOS, watchOS, iPadOS, visionOS และ tvOS
  • Cisco ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงช่องโหว่ DoS ที่ต้องอาศัยการรีบูตระบบที่ได้รับผลกระทบด้วยตนเองเพื่อทำการกู้คืนระบบ
  • Fortinet ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ระดับ Critical 2 รายการใน FortiSandbox และ FortiAuthenticator
  • Google ได้ออกแพตซ์อัปเดต Security Bulletin ของ Android ประจำเดือนพฤษภาคม ซึ่งได้แก้ไขช่องโหว่ไป 10 รายการ
  • Ivanti ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ระดับความรุนแรงสูงใน Endpoint Manager Mobile (EPMM) ซึ่งถูกนำไปใช้ในการโจมตีแบบ Zero-day แล้ว
  • Mozilla ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 5 รายการของ Firefox
  • Palo Alto Networks ได้ออกคำเตือนเกี่ยวกับช่องโหว่ระดับ Critical ใน PAN-OS User-ID Authentication Portal ซึ่งถูกนำไปใช้ในการโจมตีแบบ Zero-day ไปแล้ว ปัจจุบันยังไม่มีการออกแพตช์แก้ไขออกมา แต่มีคำแนะนำวิธีลดผลกระทบให้แล้ว
  • SAP ได้ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคม ซึ่งรวมถึงการแก้ไขช่องโหว่ระดับความรุนแรงสูง 1 รายการ และระดับ Critical 2 รายการ
  • vm2 ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ระดับ Critical ในไลบรารี Sandboxing ของ Node.js ที่ได้รับความนิยม

หากต้องการดูคำอธิบายฉบับเต็มของแต่ละช่องโหว่รวมถึงระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ตามลิ้งค์ด้านล่าง
Link : Microsoft-Patch-Tuesday-May-2026

ที่มา : bleepingcomputer