Microsoft ยืนยันว่าเกิดปัญหาใหม่ที่ส่งผลให้การอัปเดตความปลอดภัยของ Windows ประจำเดือนมิถุนายน 2025 ล่าช้า โดยมีสาเหตุมาจาก Timestamp ใน metadata ไม่ถูกต้อง
จากคำแนะนำล่าสุดของ Microsoft ปัญหานี้ส่งผลกระทบต่อระบบ Windows 10 และ Windows 11 โดยเฉพาะในสภาพแวดล้อมที่มีการใช้ policies เลื่อนการติดตั้งอัปเดต ซึ่งช่วยให้ผู้ดูแลระบบสามารถกำหนดเวลาการติดตั้งอัปเดตบนอุปกรณ์ที่มีการจัดการได้ (more…)
Microsoft เปิดเผยว่า Windows 10 จะได้รับการขยายการอัปเดตความปลอดภัยเพิ่มเติม (ESU) ออกไปอีกหนึ่งปี โดยผู้ใช้สามารถเลือกจ่ายค่าธรรมเนียม 30 ดอลลาร์ หรือเลือก sync การตั้งค่าพีซีของตนขึ้นคลาวด์แทนก็ได้
การพัฒนาครั้งนี้เกิดขึ้นก่อนเส้นตายวันที่ 14 ตุลาคม 2025 ซึ่ง Microsoft วางแผนจะยุติการสนับสนุน และหยุดอัปเดตความปลอดภัยสำหรับอุปกรณ์ที่ใช้ Windows 10 โดยระบบปฏิบัติการนี้เปิดตัวมาตั้งแต่เดือนกรกฎาคม 2015 (more…)
Microsoft กำลังตรวจสอบปัญหาใน OneDrive ที่ทำให้การค้นหาแสดงผลเป็นหน้าว่างเปล่าสำหรับผู้ใช้บางราย หรือไม่แสดงผลลัพธ์ใด ๆ ออกมาเลย แม้ว่าจะเป็นการค้นหาไฟล์ที่ผู้ใช้ทราบว่าตนเองได้อัปโหลดไปแล้วก็ตาม
Microsoft เปิดเผยในเอกสารสนับสนุนที่อัปเดตในสัปดาห์นี้ว่า Bug ดังกล่าว ส่งผลกระทบต่อผู้ใช้งานบนระบบ Windows, Android, iOS และเวอร์ชันเว็บไซต์
Microsoft ได้อธิบายในเอกสารสนับสนุนที่เผยแพร่ในสัปดาห์นี้ว่า "ผู้ใช้บัญชีส่วนตัวของ OneDrive บางราย อาจสังเกตเห็นว่าผลการค้นหาแสดงเป็นหน้าว่างเปล่า หรือไม่แสดงไฟล์ที่พวกเขาทราบว่ามีอยู่จริง แม้ว่าไฟล์เหล่านั้นจะยังคงอยู่ และสามารถเข้าถึงได้ แต่ไฟล์เหล่านั้นจะไม่ปรากฏในผลการค้นหา"
"บริษัทกำลังตรวจสอบสาเหตุที่แท้จริงของปัญหานี้ แต่ดูเหมือนว่าปัญหานี้จะส่งผลกระทบต่อผู้ใช้งานเพียงบางส่วน และบริษัทกำลังทำงานร่วมกับทีมสนับสนุนอย่างใกล้ชิดเพื่อทำความเข้าใจขอบเขตของปัญหานี้ให้ดียิ่งขึ้น"
Microsoft กำลังพยายามค้นหาสาเหตุหลักของปัญหาการค้นหาที่กำลังเกิดขึ้นนี้ ซึ่งส่งผลกระทบต่อผู้ใช้ในเกือบทุกแพลตฟอร์มของ OneDrive โดย Microsoft ยังระบุเพิ่มเติมว่า ขณะนี้ยังไม่มีวิธีแก้ไขปัญหาชั่วคราวสำหรับผู้ใช้ที่ได้รับผลกระทบ และยังไม่สามารถระบุกรอบเวลาในการแก้ไขปัญหาดังกล่าวได้
Microsoft ระบุเพิ่มเติมว่า "บริษัทเข้าใจถึงผลกระทบที่เกิดจากปัญหานี้ และขอยืนยันว่ากำลังเร่งดำเนินการเพื่อแก้ไขปัญหานี้ให้เร็วที่สุด ขอบคุณสำหรับความอดทนในระหว่างที่กำลังมีการดำเนินการแก้ไขปัญหาดังกล่าว"
Microsoft กำลังตรวจสอบอีกปัญหาหนึ่งที่ส่งผลกระทบต่อผู้ใช้ iOS โดยปัญหานั้นจะทำให้วิดีโอที่ถ่ายในโหมดสโลว์โมชัน เมื่ออัปโหลดไปยัง OneDrive แล้ว กลับเล่นด้วยความเร็วที่ยังคงปกติอยู่เหมือนเดิม
โดยทาง Microsoft แนะนำให้ผู้ใช้ที่กำลังประสบปัญหานี้ ควรใช้วิธีแชร์วิดีโอจาก Gallery ของ iOS ไปยัง OneDrive แทนการอัปโหลดไฟล์ด้วยตนเอง หรือผ่านการสำรองข้อมูลอัตโนมัติจาก Camera Roll
ก่อนหน้านี้ ในเดือนมกราคม 2025 ที่ผ่านมา Microsoft ได้แก้ไขปัญหาอีกรายการหนึ่ง ที่ทำให้แอปพลิเคชันบน macOS ค้างเมื่อเปิด หรือบันทึกไฟล์ใน OneDrive
ตามที่ Microsoft ได้ออกมายอมรับถึง Bug ดังกล่าวในเดือนพฤศจิกายน 2024 ที่ผ่านมา ซึ่งปัญหานี้ส่งผลกระทบเฉพาะกับผู้ใช้ที่ใช้ระบบปฏิบัติการ macOS 15 Sequoia ของ Apple เท่านั้น
ที่มา : bleepingcomputer.
Microsoft ได้ประกาศแผนการที่จะลบไดรเวอร์รุ่นเก่าออกจาก catalog ของ Windows Update เป็นระยะ ๆ เพื่อลดความเสี่ยงด้านความปลอดภัย และความเข้ากันได้ของอุปกรณ์
Microsoft ระบุว่า "เหตุผลเบื้องหลังความคิดริเริ่มนี้ คือเพื่อให้แน่ใจว่ามีชุดไดรเวอร์ที่เหมาะสมที่สุดบน Windows Update ที่สามารถรองรับอุปกรณ์ hardware หลากหลายประเภททั่วทั้ง ecosystem ของ Windows ขณะเดียวกันก็ต้องมั่นใจว่าสถานะความปลอดภัยของ Microsoft Windows จะไม่ถูกลดทอนลงด้วยเช่นกัน"
"ความคิดริเริ่มนี้เกี่ยวข้องกับการ cleanup ไดรเวอร์ออกจาก Windows Update เป็นระยะ ๆ ซึ่งจะส่งผลให้ไดรเวอร์บางรายการจะไม่ถูกเสนอให้ติดตั้งกับอุปกรณ์ใด ๆ ใน ecosystem ของ Windows อีกต่อไป"
ตามที่ Microsoft ได้อธิบายเมื่อวันพฤหัสบดีที่ผ่านมาว่า ขั้นตอนแรกของกระบวนการ cleaning up นี้ จะเริ่มจากไดรเวอร์ที่มีเวอร์ชันใหม่กว่าที่ถูกเผยแพร่อยู่ใน Windows Update อยู่แล้ว
ในบริบทนี้ การ cleanup หมายถึง การทำให้ไดรเวอร์หมดอายุ โดยการลบความเชื่อมโยงของไดรเวอร์กับกลุ่มเป้าหมายใน Windows Update ออก ซึ่งจะทำให้ไดรเวอร์ดังกล่าวไม่ถูกนำเสนอให้ติดตั้งกับระบบ Windows ใด ๆ อีกต่อไป โดยกระบวนการนี้จะดำเนินการผ่านการลบการกำหนดกลุ่มเป้าหมายของไดรเวอร์ที่หมดอายุใน Hardware Development Center
Microsoft จะเริ่มจากการลบไดรเวอร์รุ่นเก่าออกก่อน และจะค่อย ๆ ขยายไปยังหมวดหมู่อื่น ๆ ที่สามารถลบได้เพื่อเพิ่มความปลอดภัย อย่างไรก็ตาม พาร์ทเนอร์ยังสามารถนำไดรเวอร์ที่ถูก Microsoft ลบออกในกระบวนการ clean-up นี้กลับมาเผยแพร่ใหม่ได้ หากพวกเขาสามารถให้เหตุผลทางธุรกิจที่สมเหตุสมผลได้
Microsoft ระบุเพิ่มเติมอีกว่า "การที่ Microsoft นำไดรเวอร์รุ่นเก่าออกจาก Windows Update เป็นมาตรการเชิงรุกเพื่อปกป้องความปลอดภัย และปรับปรุงคุณภาพของไดรเวอร์สำหรับผู้ใช้ Windows"
"จากนี้ไป คาดว่าการ cleanup นี้จะกลายเป็นแนวทางปฏิบัติที่เป็นกิจวัตรประจำ และเตรียมพบกับแนวทางการเผยแพร่ไดรเวอร์รูปแบบใหม่ ที่จะช่วยให้ผู้ใช้ Windows ทุกคนสามารถรักษาระบบของตนให้อยู่ในสถานะที่ปลอดภัย และเชื่อถือได้"
เมื่อเดือนพฤษภาคมที่ผ่านมา Microsoft ยังได้ประกาศการเปลี่ยนแปลงเกี่ยวกับการรับรองไดรเวอร์ในเวอร์ชันทดสอบ (pre-production) ซึ่งเป็นผลมาจากการที่ Certificate Authorities - CAs บางรายกำลังจะหมดอายุในเดือนกรกฎาคมที่จะถึงนี้ รวมถึงการยุติให้บริการ Windows Metadata and Internet Services (WMIS) และ Metadata ของอุปกรณ์
นอกจากนี้ เมื่อต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้เปิดตัวการตั้งค่าความปลอดภัยเริ่มต้นใหม่สำหรับ Windows 365 Cloud PC และจะอัปเดตค่าความปลอดภัยเริ่มต้นสำหรับผู้ใช้ Microsoft 365 ทั้งหมดในเดือนกรกฎาคมที่จะถึงนี้ เพื่อบล็อกการเข้าถึงไฟล์ใน SharePoint, OneDrive และ Office โดยใช้โปรโตคอลการยืนยันตัวตนแบบเก่า (legacy authentication protocols) อีกด้วย
ที่มา : bleepingcomputer.
Microsoft ได้เปิดเผยวิธีแก้ปัญหาชั่วคราวสำหรับสาเหตุที่ทำให้โปรแกรมอีเมล Outlook เวอร์ชัน Desktop เกิดอาการ crash หรืออาการโปรแกรมปิดตัวเองลง เมื่อเปิด หรือมีการเริ่มสร้างอีเมลใหม่
ปัญหานี้ส่งผลกระทบต่อผู้ใช้งาน Monthly Enterprise Channel ที่ได้รับการอัปเดต Outlook สำหรับ Microsoft 365 ไปเมื่อต้นเดือนที่ผ่านมา โดยเริ่มตั้งแต่เวอร์ชัน 2504 (Build 18730.20122)
ทีม Outlook ได้รายงานเมื่อวันศุกร์ที่ 13 มิถุนายน 2025 โดยระบุว่า "เมื่อเปิด หรือเริ่มสร้างอีเมลใหม่ใน Outlook เวอร์ชัน Desktop อาจจะพบกับอาการ crashes หรืออาการโปรแกรมปิดตัวเองลง ปัญหานี้เกิดจาก Outlook ไม่สามารถเปิด Forms Library ได้"
"กรณีส่วนใหญ่ของปัญหานี้เกิดขึ้นบน Virtual desktop infrastructure (VDI) และปัญหานี้ได้ถูกยกระดับเพื่อทำการตรวจสอบแล้ว โดยจะมีการอัปเดตให้ทราบอีกครั้งเมื่อมีข้อมูลเพิ่มเติม"
จนกว่าจะมีการออกแพตช์แก้ไขให้กับผู้ใช้งานที่ได้รับผลกระทบ ทาง Microsoft แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบสร้างโฟลเดอร์ FORMS2 ที่หายไปด้วยตนเองที่ C:\Users\<ชื่อผู้ใช้>\AppData\Local\Microsoft\FORMS2 เพื่อเป็นการแก้ไขปัญหาชั่วคราว
ในการดำเนินการเช่นนี้ คุณต้องทำตามขั้นตอนดังต่อไปนี้ :
ปิดโปรแกรม Outlook และแอปพลิเคชันอื่น ๆ ของ Microsoft Office
เลือกที่ปุ่ม Start > Run (หรือกดปุ่ม Windows + R) แล้วพิมพ์ %localappdata%\Microsoft จากนั้นกด OK
ในหน้าต่าง File Explorer ให้เลือกเมนู New > Folder แล้วตั้งชื่อโฟลเดอร์ว่า FORMS2
Microsoft กำลังตรวจสอบอีกปัญหาของ Outlook ซึ่งทำให้โฟลเดอร์ใน mailbox เกิดอาการกระพริบ และเคลื่อนที่ไปมาเมื่อมีการย้ายอีเมลเข้าไปในโฟลเดอร์ โดยปัญหานี้เริ่มเกิดขึ้นตั้งแต่เวอร์ชัน 2505 (Build 18827.20128)
สำหรับผู้ที่ได้รับผลกระทบ ทาง Microsoft ขอแนะนำให้ปิด caching ของก shared mailbox โดยปิดการใช้งาน Download Shared Folders เพื่อเป็นการแก้ไขปัญหาชั่วคราว อย่างไรก็ตาม วิธีนี้อาจส่งผลกระทบต่อประสิทธิภาพการทำงาน เนื่องจากเป็นการบังคับให้ Outlook จะต้องทำงานกับ shared mailbox ในโหมดออฟไลน์
เมื่อสัปดาห์ที่ผ่านมา Microsoft ได้ปล่อยอัปเดต service เพื่อแก้ไข bug ที่ทำให้ Outlook LTSC 2019 ขัดข้อง เมื่อมีการเปิดอีเมลจาก Viva Engage, Yammer, Power Automate และอีเมลอื่น ๆ
เมื่อช่วงต้นปีที่ผ่านมา ทาง Microsoft ได้เปิดเผยวิธีแก้ไขชั่วคราวสำหรับปัญหาที่ทำให้ Outlook เวอร์ชัน Desktop เกิดอาการปิดตัวเองลง เมื่อผู้ใช้ทำการเขียน, ตอบกลับ หรือส่งต่ออีเมล รวมถึงได้ออกแพตช์แก้ไขสำหรับอีกปัญหาหนึ่งที่ทำให้ Outlook เวอร์ชัน classic และแอปพลิเคชัน Microsoft 365 ที่มีอาการปิดตัวเองบนระบบ Windows Server
ที่มา : bleepingcomputer.
แฮ็กเกอร์กลุ่มหนึ่งได้ใช้เฟรมเวิร์ก TeamFiltration ซึ่งปกติใช้สำหรับทดสอบการเจาะระบบ มุ่งเป้าโจมตีบัญชี Microsoft Entra ID มากกว่า 80,000 บัญชี ในองค์กรหลายร้อยแห่งทั่วโลก
การโจมตีเริ่มขึ้นเมื่อเดือนธันวาคม โดยทำให้สามารถเข้าควบคุมบัญชีได้หลายบัญชี ตามรายงานของบริษัทความปลอดภัยไซเบอร์ Proofpoint ซึ่งระบุว่า กลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังคือ UNK_SneakyStrike โดยจุดพีคของปฏิบัติการเกิดขึ้นในวันที่ 8 มกราคม เมื่อมีการมุ่งเป้าไปที่บัญชีถึง 16,500 บัญชีในวันเดียว ก่อนที่ปฏิบัติการจะหยุดลงไปหลายวัน
(more…)
Microsoft เผยแพร่สคริปต์ PowerShell เพื่อช่วยกู้คืนโฟลเดอร์ 'inetpub' ที่ว่างเปล่า ซึ่งถูกสร้างขึ้นโดยการอัปเดตความปลอดภัยของ Windows ในเดือนเมษายน 2025 หากถูกลบออกไป โดย Microsoft ได้เตือนไว้ก่อนหน้านี้แล้วว่าโฟลเดอร์นี้ช่วยลดความเสี่ยงจากช่องโหว่ความปลอดภัยระดับสูงในเรื่องการยกระดับสิทธิ์ของ Windows Process Activation
(more…)
Microsoft และ CrowdStrike ประกาศในวันนี้ว่าทั้งสองบริษัทได้ร่วมมือกัน เพื่อเชื่อมโยงนามแฝงที่ใช้สำหรับกลุ่มภัยคุกคามโดยเฉพาะ แม้ว่าจะไม่ได้ใช้มาตรฐานชื่อแบบเดียวกันก็ตาม
ตามที่ทั้งสองบริษัทได้อธิบายไว้เมื่อวันจันทร์ วิธีการนี้คือการจับคู่ (หรือเชื่อมโยง) ชื่อต่าง ๆ ที่นักวิเคราะห์ด้านความปลอดภัยใช้สำหรับกลุ่มแต่ละกลุ่มที่พวกเขาติดตามอยู่
(more…)
นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบช่องโหว่ด้านความปลอดภัยใน File Picker ของ Microsoft OneDrive ซึ่งหากถูกโจมตีสำเร็จ อาจทำให้เว็บไซต์ต่าง ๆ สามารถเข้าถึงเนื้อหาทั้งหมดในพื้นที่จัดเก็บข้อมูลบนคลาวด์ของผู้ใช้ได้ แทนที่จะเข้าถึงเฉพาะไฟล์ที่ผู้ใช้เลือกอัป (more…)
Microsoft ออก Patch Tuesday ประจำเดือนพฤษภาคม 2025 โดยแก้ไขช่องโหว่ 72 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days 5 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน และช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ 2 รายการ
โดย Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 5 รายการ และช่องโหว่ Information Disclosure 1 รายการ
ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :
ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 17 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 2 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 28 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 15 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 7 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 2 รายการ
ทั้งนี้ไม่รวมช่องโหว่ Azure, Dataverse, Mariner และ Microsoft Edge ที่ได้รับการแก้ไขในเดือนพฤษภาคม 2025
5 ช่องโหว่ Zero-Days ที่พบว่ากำลังถูกใช้ในการโจมตี
Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ Zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี 5 รายการ
Microsoft จัดประเภทช่องโหว่ Zero-Days ว่าเป็นช่องโหว่ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ หรือเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ
CVE-2025-30400 - Microsoft DWM Core Library Elevation of Privilege Vulnerability
Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows DWM โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้
CVE-2025-32701 - Windows Common Log File System Driver Elevation of Privilege Vulnerability
Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows Common Log File System Driver โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้
CVE-2025-32706 - Windows Common Log File System Driver Elevation of Privilege Vulnerability
Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ input validation ใน Windows Common Log File System Driver โดย Microsoft ระบุว่า Benoit Sevens จาก Google Threat Intelligence Group และ CrowdStrike Advanced Research Team เป็นผู้ค้นพบช่องโหว่นี้
CVE-2025-32709 - Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows Ancillary Function Driver สำหรับ WinSock โดย Microsoft ระบุว่าช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัย "Anonymous (ไม่เปิดเผยชื่อ)"
CVE-2025-30397 - Scripting Engine Memory Corruption Vulnerability
Microsoft ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ Hacker สามารถโจมตีผ่าน Microsoft Edge หรือ Internet Explorer ที่เกิดจากช่องโหว่การเข้าถึงทรัพยากรโดยใช้ประเภทที่ไม่เข้ากัน ('type confusion') ใน Microsoft Scripting Engine
โดย Hacker จะต้องหลอกล่อให้ผู้ใช้งานที่ผ่านการยืนยันตัวตน คลิกลิงก์ที่สร้างขึ้นมาเป็นพิเศษใน Edge หรือ Internet Explorer เพื่อให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้
ทั้งนี้ Microsoft ยังไม่ได้เปิดเผยรายละเอียดใด ๆ เกี่ยวกับวิธีการที่ช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตี
ช่องโหว่ Zero-Days ที่ถูกเปิดเผยออกสู่สาธารณะ
CVE-2025-26685 - Microsoft Defender for Identity Spoofing Vulnerability
Microsoft แก้ไขช่องโหว่ใน Microsoft Defender ซึ่งทำให้สามารถโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน เพื่อปลอมแปลงบัญชีอื่นได้ ซึ่งเกิดจากการตรวจสอบสิทธิ์ที่ไม่เหมาะสมใน Microsoft Defender for Identity
ช่องโหว่ดังกล่าวทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถเข้าถึงได้ผ่านการเข้าถึง LAN โดย Microsoft ระบุว่า Joshua Murrell จาก NetSPI เป็นผู้ค้นพบช่องโหว่นี้
CVE-2025-32702 - Visual Studio Remote Code Execution Vulnerability
Microsoft แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถโจมตีผ่าน Visual Studio ได้ โดยเกิดจากการจัดการ special elements อย่างไม่เหมาะสมใน command ('command injection')
Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้ค้นพบช่องโหว่นี้
การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ
นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤษภาคม 2025 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :
Apple ออกแพตซ์อัปเดตความปลอดภัยสำหรับ iOS, iPadOS และ macOS
Cisco ออกแพตซ์อัปเดตช่องโหว่ระดับ Critical ในซอฟต์แวร์ IOS XE สำหรับ Wireless LAN Controllers
Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์จำนวนมาก รวมถึงการโจมตีช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตี FortiVoice
Google ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคม 2025 สำหรับ Android โดยแก้ไขช่องโหว่ zero-click FreeType 2 code execution ที่กำลังถูกใช้ในการโจมตี
Intel เปิดเผย CPU microcodes สำหรับช่องโหว่ชื่อ "Branch Privilege Injection" ซึ่งรั่วไหลข้อมูลจาก privileged memory
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงช่องโหว่ RCE ระดับ Critical
SonicWall ออกแพตซ์อัปเดตแก้ไขช่องโหว่ Zero-Day ที่กำลังถูกนำไปใช้ในการโจมตี
ที่มา : bleepingcomputer