Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2026 โดยแก้ไขช่องโหว่ 114 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการ และ ช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 2 รายการ

โดย Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 8 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 6 รายการ และช่องโหว่ Privilege Escalation 2 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 57 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 3 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 22 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 22 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 2 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 5 รายการ

ช่องโหว่ Zero-Days 3 รายการ ที่ถูกแก้ไข

Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ Zero-days 1 รายการ ที่กำลังถูกใช้ในการโจมตี และช่องโหว่ Zero-days 2 รายการ ที่เปิดเผยต่อสาธารณะ
**

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี
**

CVE-2026-20805 - Desktop Window Manager Information Disclosure Vulnerability
Microsoft ได้แก้ไขช่องโหว่ Desktop Window Manager ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งเกิดจากการเปิดเผยข้อมูลที่สำคัญใน Desktop Windows Manager ทำให้ Hacker ที่ได้รับ authorized สามารถเปิดเผยข้อมูลในเครื่องได้ เมื่อโจมตีช่องโหว่นี้สำเร็จ จะทำให้ Hacker สามารถอ่าน memory addresses ที่เกี่ยวข้องกับ ALPC port ซึ่งเป็นหน่วยความจำในโหมดผู้ใช้จากระยะไกลได้

Microsoft ระบุว่า Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) เป็นผู้ค้นพบช่องโหว่ดังกล่าว แต่ไม่ได้เปิดเผยวิธีการโจมตีช่องโหว่

ช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ

CVE-2026-21265 - Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Microsoft ได้แจ้งเตือนว่า Certificate ของ Windows Secure Boot ที่ออกในปี 2011 ใกล้หมดอายุแล้ว และระบบที่ไม่ได้รับการอัปเดตมีความเสี่ยงเพิ่มขึ้นที่จะถูก Bypassing Secure Boot ได้

โดยการอัปเดตความปลอดภัยจะต่ออายุ Certificate ที่ได้รับผลกระทบเพื่อรักษา Secure Boot trust chain และ verification of boot components ต่อไปได้

CVE-2023-31096 Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

ก่อนหน้านี้ Microsoft ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่กำลังถูกใช้ในการโจมตี Agere Modem driver ของ third-party ซึ่งมาพร้อมกับ Windows เวอร์ชันที่รองรับ เมื่อโจมตีสำเร็จจะสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบ บนระบบที่มีช่องโหว่ได้ ซึ่งถูกระบุว่าจะถูกลบออกในการอัปเดตในอนาคต

ใน Patch Tuesday ประจำเดือนมกราคม 2026 ทาง Microsoft ได้ลบไดรเวอร์ที่มีช่องโหว่ (agrsm64.sys และ agrsm.

แฮ็กเกอร์กำลังโจมตีช่องโหว่ระดับ Critical 'SessionReaper' (CVE-2025-54236) บนแพลตฟอร์ม Adobe Commerce (ชื่อเดิมคือ Magento) โดยมีการบันทึกความพยายามในการโจมตีไปแล้วมากกว่า 100 ครั้ง (more…)

CISA ได้ออกคำเตือนว่า ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงสุดใน Adobe Experience Manager เพื่อรันโค้ดบนระบบที่ยังไม่ได้อัปเดตแพตช์ (more…)

Adobe ได้ออกอัปเดตความปลอดภัยที่สำคัญ เพื่อแก้ไขช่องโหว่ระดับความรุนแรง High ทั้งหมด 3 รายการ (CVE-2025-30324, CVE-2025-30325, CVE-2025-30326) ใน Photoshop 2024 และ 2025 ซึ่งสามารถทำให้ผู้ไม่หวังดีรันได้โค้ดตามที่ต้องการบนระบบปฏิบัติการ Windows และ macOS

ช่องโหว่เหล่านี้ถูกพบโดยนักวิจัยจากภายนอกชื่อ yjdfy ผ่านโปรแกรม bug bounty บนแพลตฟอร์ม HackerOne ของ Adobe ซึ่งเกี่ยวข้องกับความเสี่ยงด้าน Memory Corruption ที่เกิดจากการจัดการ integer และการเข้าถึง Pointer ที่ยังไม่ได้ถูกกำหนดค่า

แม้ยังไม่พบการโจมตีโดยใช้ช่องโหว่นี้ในทางปฏิบัติ แต่แพตช์ที่ออกเมื่อวันที่ 13 พฤษภาคม 2025 ได้ลดความเสี่ยงจากรูปแบบการโจมตีที่ต้องมีการโต้ตอบของผู้ใช้งานผ่านการเปิดไฟล์ที่เป็นอันตราย

ช่องโหว่เหล่านี้มีศูนย์กลางอยู่ที่การจัดการหน่วยความจำที่ไม่เหมาะสมขณะประมวลผลไฟล์ภาพ

CVE-2025-30324 เกี่ยวข้องกับ error ด้าน Integer Underflow/Wraparound ใน layer compositing engine ของ Photoshop โดยเกิดขึ้นเมื่อค่าที่มากกว่าถูกลบออกจากค่าที่น้อยกว่า ซึ่งเป็นตัวเลขแบบ Unsigned ส่งผลให้เกิดตำแหน่งหน่วยความจำที่ไม่ถูกต้อง

ผู้ไม่หวังดีอาจใช้ใช้ประโยชน์จากช่องโหว่นี้ด้วยการสร้างไฟล์ .PSD แบบพิเศษเพื่อจะทริกเกอร์เงื่อนไข Buffer Underwrite ซึ่งส่งผลให้พื้นที่หน่วยความจำใกล้เคียงเกิด corrupt

CVE-2025-30325 เกิดจากช่องโหว่ Integer Overflow ในโมดูลแปลงค่าสีแบบ CMYK โดยเมื่อมีการใช้ Color Profile ที่ถูกออกแบบพิเศษให้เกินขีดจำกัดของตัวเลข 32 บิต ระหว่างการคำนวณพิกเซล จะทำให้เกิด Heap Buffer Overflow

ทั้งสองช่องโหว่ได้รับคะแนน CVSSv3.1 ที่ 7.8 เนื่องจากเป็นการโจมตีแบบ local ที่ต้องอาศัยการเปิดไฟล์อันตรายโดยผู้ใช้งาน

ช่องโหว่ที่สาม CVE-2025-30326 เกี่ยวข้องกับการจัดการ Metadata Tag แบบเก่าในไฟล์ TIFF ของ Photoshop

การกำหนดค่า Pointer ที่ไม่เหมาะสมในระหว่างการอ่านข้อมูล Exif จาก Header ที่ถูกแก้ไข อาจทำให้ Pointer ไปอ้างอิงตำแหน่งหน่วยความจำที่ผู้ไม่หวังดีควบคุมได้

ประกาศของ Adobe ระบุว่าทั้งสามช่องโหว่สามารถนำไปสู่การรันโค้ดตามที่ต้องการในระดับสิทธิ์ของผู้ใช้งานที่เป็นเป้าหมาย ซึ่งมีความเสี่ยงสูงเนื่องจาก Photoshop จะทำงานด้วยสิทธิ์ที่สูง

การติดตั้งแพตช์ และการลดผลกระทบ

เวอร์ชันที่ได้รับผลกระทบ ได้แก่ Photoshop 2025 (26.5 และเวอร์ชันก่อนหน้า) และ Photoshop 2024 (25.12.2 และเวอร์ชันก่อนหน้า) ทั้งบน Windows และ macOS

การอัปเดตเวอร์ชัน 26.6 สำหรับ Photoshop 2025 และ 25.12.3 สำหรับ Photoshop 2024 ได้เพิ่มความเข้มงวดในการตรวจสอบขอบเขตในกระบวนการ Raster และเพิ่มขั้นตอนการตรวจสอบ Pointer

ผู้ใช้งาน Creative Cloud จะได้รับการอัปเดตโดยอัตโนมัติผ่านบริการ Desktop App’s Background แต่ผู้ดูแลระบบต้องอนุมัติการติดตั้งแพตช์ด้วยตนเองในสภาพแวดล้อมที่มีการจัดการผ่าน Admin Console

องค์กรควรให้ความสำคัญกับการทดสอบความเข้ากันของแพตช์กับปลั๊กอินของ Third-party เนื่องจากการเปลี่ยนแปลงโครงสร้างหน่วยความจำอาจส่งผลกระทบต่อ extension รุ่นเก่า

การลดผลกระทบชั่วคราวสำหรับระบบที่ยังไม่ได้ติดตั้งแพตช์ คือการกำหนด Group Policy (สำหรับ Windows) หรือโปรไฟล์ MDM (สำหรับ macOS) เพื่อจำกัดการเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือใน Photoshop

อย่างไรก็ตาม Adobe เน้นย้ำว่าแนวทางเหล่านี้อาจส่งผลกระทบต่อการทำงานของซอฟต์แวร์ และไม่ควรใช้โดยไม่มีการติดตั้งแพตช์ถาวร

ผลกระทบต่อผู้ใช้งานในสายงานด้าน Creative

ช่องโหว่เหล่านี้สะท้อนให้เห็นถึงความท้าทายอย่างต่อเนื่องในการรักษาความปลอดภัยของซอฟต์แวร์กราฟิกที่มีความซับซ้อนต่อการโจมตีผ่านไฟล์

แม้ว่า Adobe จะมีรางวัลสูงสุดถึง $250,000 สำหรับการรายงานช่องโหว่ระดับ Critical แต่การที่ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยเพียงคนเดียวอาจแสดงให้เห็นถึงช่องโหว่ในการตรวจสอบโค้ดสำหรับช่องโหว่ประเภท Memory Corruption

ทีม PSIRT ของบริษัทได้ขยายโครงสร้างพื้นฐานสำหรับการทดสอบ fuzzing ใน image codec ตั้งแต่ปี 2023 แต่กรณีเฉพาะในไฟล์ฟอร์แมตเก่ายังคงเป็นปัญหา

สำหรับผู้ใช้งาน การอัปเดตครั้งนี้แสดงให้เห็นถึงความสำคัญของการจัดการ Software Lifecycle โดยองค์กรที่ยังใช้ Photoshop 2024 ต้องพิจารณาความเร่งด่วนในการอัปเกรดเทียบกับความเสี่ยงต่อการกระทบกับขั้นตอนการทำงาน

นักวิเคราะห์ด้านความปลอดภัยแนะนำให้ใช้ Sandbox กับซอฟต์แวร์กราฟิกผ่านเทคนิค Virtualization หรือ Containerization โดยเฉพาะการแลกเปลี่ยนไฟล์จากภายนอก

การเปิดเผยข้อมูลอย่างโปร่งใสของ Adobe ยังคงแสดงให้เห็นถึงแนวโน้มที่ดีขึ้นด้านความรับผิดชอบของผู้พัฒนาซอฟต์แวร์ โดยมีการออกแพตช์ภายใน 90 วันหลังจากนักวิจัยรายงานช่องโหว่

เนื่องจากการโจมตีผ่านไฟล์เริ่มมุ่งเป้าไปยังอุตสาหกรรม Creative มากขึ้น เหตุการณ์นี้จึงแสดงให้เห็นถึงความจำเป็นของการแบ่งปันข่าวกรองภัยคุกคามเฉพาะกลุ่มผ่านแพลตฟอร์มอย่างเครือข่าย AIS ของ CISA

การอัปเดตนี้ถือเป็นแพตช์ความปลอดภัยที่สำคัญครั้งที่ 4 ของ Photoshop ในปี 2025 สะท้อนถึงความเข้มข้นของการวิจัยด้านความปลอดภัย และ Attack Surface ที่เพิ่มขึ้นจากฟีเจอร์ที่ขับเคลื่อนด้วย AI

ผู้ใช้งานควรตรวจสอบสถานะการอัปเดตของ Creative Cloud ทันที และตรวจสอบกิจกรรมที่เกี่ยวกับการประมวลผลไฟล์ล่าสุดเพื่อหาความผิดปกติ

แม้ว่ามาตรการปัจจุบันจะลดโอกาสการถูกโจมตีได้ แต่ความซับซ้อนทางเทคนิคของช่องโหว่ด้าน Memory Corruption ทำให้ยังคงมีความเสี่ยงอย่างต่อเนื่องที่ต้องจับตาอย่างใกล้ชิด

ที่มา : gbhackers

Adobe ประกาศอัปเดตแพตซ์ความปลอดภัยระดับ Critical สำหรับซอฟต์แวร์ยอดนิยมหลายรายการ โดยมีการแก้ไขช่องโหว่ที่อาจถูกผู้ไม่หวังดีกำลังนำไปใช้ประโยชน์ได้

(more…)

อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการที่ส่งผลกระทบต่อ Adobe ColdFusion และ Oracle Agile Product Lifecycle Management (PLM) เข้าสู่รายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) โดยอ้างอิงจากหลักฐานการถูกโจมตีจริง (more…)

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญของ ColdFusion ที่อาจถูกโจมตีเนื่องจาก Proof-of-concept (PoC) exploit code ที่ถูกปล่อยออกมา (more…)

Adobe ปล่อยอัปเดตใหม่สำหรับผลิตภัณฑ์หลายตัว ได้แก่ Adobe FrameMaker, Adobe Substance 3D Printer, Adobe Commerce และ Magento Open Source, Adobe Dimension, Adobe Animate, Adobe Lightroom, Adobe InCopy, Adobe InDesign, และ (more…)

Adobe ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ColdFusion รวมถึงการโจมตี zero-day แบบใหม่ โดยมีการแก้ไขช่องโหว่ 3 รายการ ดังนี้ :

CVE-2023-38204 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) แต่ยังไม่พบการโจมตีจากช่องโหว่นี้
CVE-2023-38205 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่การควบคุมการเข้าถึงที่ถูกนำไปใช้อย่างแพร่หลายในการโจมตีแบบ limited attacks targeting ไปที่ Adobe ColdFusion
CVE-2023-38206 (คะแนน CVSS 5.3/10 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่การควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งอาจนำไปสู่การ bypass ความปลอดภัย

โดยช่องโหว่ CVE-2023-38205 จะใช้ประโยชน์จากช่องโหว่เก่า CVE-2023-29298 โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัยจาก Rapid7 Stephen Fewer ในวันอังคารที่ 11 กรกฎาคม 2023

เมื่อวันพฤหัสบดีที่ 13 กรกฎาคม 2023 Rapid7 พบผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-29298 และ CVE-2023-29300/CVE-2023-38203 เพื่อสร้างช่องโหว่เว็ปเชลล์บนเซิร์ฟเวอร์ ColdFusion ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

นักวิจัยจาก Rapid7 ระบุว่าเมื่อวันจันทร์ที่ 17 กรกฎาคม 2023 ที่ผ่านมา การแพตซ์อัปเดตของ Adobe สำหรับช่องโหว่ CVE-2023-29298 นั้นยังไม่สมบูรณ์ และอาจถูกผู้โจมตีใช้เพื่อ bypass การป้องกันได้ โดยทาง Rapid7 ได้แจ้งให้ Adobe ทราบถึงเหตุการณ์ดังกล่าวแล้ว

อย่างไรก็ตาม Adobe ได้ออกมายืนยันว่าการแก้ไขช่องโหว่ CVE-2023-29298 จะถูกรวมอยู่ในแพตซ์ APSB23-47 ของช่องโหว่ CVE-2023-38205 และเนื่องจากช่องโหว่นี้กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ ColdFusion จึงขอแนะนำให้ผู้ดูแลระบบติดตั้งแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด

ที่มา : bleepingcomputer