Connect with us

Hi, what are you looking for?

Notebookspec

IT NEWS

Microsoft Patch Tuesday July 2025 แก้ไขช่องโหว่กว่า 137 รายการ รวมถึง 1 Zero-Day ใน SQL Server

 |

617 Views

Microsoft Patch Tuesday

Microsoft ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนกรกฎาคม 2025 หรือ Microsoft Patch Tuesday ซึ่งครอบคลุมการแก้ไขช่องโหว่จำนวนมากถึง 137 รายการ โดยหนึ่งในนั้นเป็น Zero-Day ที่ถูกเปิดเผยต่อสาธารณะแล้วใน Microsoft SQL Server และยังมีช่องโหว่ระดับ “วิกฤติ” (Critical) อีก 14 รายการ ที่รวมถึงช่องโหว่ Remote Code Execution (RCE) ถึง 10 จุด

Advertisement

สรุปช่องโหว่ที่ถูกแก้ไขใน Microsoft Patch Tuesday เดือนนี้

ประเภทช่องโหว่จำนวน
Elevation of Privilege53
Security Feature Bypass8
Remote Code Execution (RCE)41
Information Disclosure18
Denial of Service (DoS)6
Spoofing4

อธิบายเพิ่มเติม: ช่องโหว่แต่ละประเภทคืออะไร?

สำหรับผู้อ่านทั่วไปที่อาจไม่คุ้นเคยกับศัพท์เทคนิคด้านความปลอดภัย ต่อไปนี้คือคำอธิบายแบบเข้าใจง่ายของแต่ละหมวดหมู่ช่องโหว่ที่ Microsoft แก้ไขในรอบนี้:

  • Elevation of Privilege (ยกระดับสิทธิ์):
    แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อเพิ่มสิทธิ์ของตนเองในระบบ เช่น จากผู้ใช้ทั่วไปกลายเป็นผู้ดูแลระบบ เพื่อเข้าถึงข้อมูลหรือควบคุมระบบได้มากขึ้น
  • Security Feature Bypass (เลี่ยงระบบความปลอดภัย):
    เป็นการข้ามระบบป้องกันที่ออกแบบไว้ เช่น BitLocker, SmartScreen หรือระบบตรวจสอบสิทธิ์ ทำให้แฮกเกอร์เจาะผ่านได้โดยไม่ถูกสกัด
  • Remote Code Execution – RCE (สั่งรันโค้ดจากระยะไกล):
    หนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะแฮกเกอร์สามารถรันโปรแกรมอันตรายบนเครื่องของเหยื่อได้โดยไม่ต้องสัมผัสตัวเครื่อง เช่น แค่เปิดเอกสาร Word ที่ฝังโค้ดไว้
  • Information Disclosure (ข้อมูลรั่วไหล):
    ระบบอาจเปิดเผยข้อมูลที่ควรเป็นความลับ เช่น ข้อมูลในหน่วยความจำที่ยังไม่ถูกลบออก หรือข้อมูลผู้ใช้โดยไม่ได้ตั้งใจ
  • Denial of Service – DoS (ทำให้ระบบล่ม):
    การใช้ช่องโหว่เพื่อทำให้ระบบหยุดทำงานหรือไม่สามารถให้บริการได้ เช่น ทำให้เครื่องค้างหรือรีสตาร์ทตลอดเวลา
  • Spoofing (ปลอมตัว):
    การปลอมแปลงข้อมูลหรือตัวตนเพื่อหลอกระบบหรือผู้ใช้ เช่น ปลอมอีเมลจากฝ่าย IT เพื่อหลอกขอรหัสผ่าน หรือปลอมลิงก์เว็บไซต์เพื่อหลอกให้คลิก

Zero-Day ที่ถูกเปิดเผยใน SQL Server บน Microsoft Patch Tuesday

ช่องโหว่ที่มีความอันตรายที่สุดในอัปเดตนี้คือ CVE-2025-49719 – ช่องโหว่ประเภท Information Disclosure ใน Microsoft SQL Server ที่เปิดโอกาสให้แฮกเกอร์ที่ไม่ได้รับสิทธิ์เข้าถึงสามารถขโมยข้อมูลจากหน่วยความจำที่ยังไม่ได้ใช้งานผ่านเครือข่ายได้

Microsoft แนะนำให้ผู้ดูแลระบบติดตั้ง SQL Server เวอร์ชันล่าสุด พร้อมกับ Microsoft OLE DB Driver รุ่น 18 หรือ 19 เพื่ออุดช่องโหว่นี้โดยเร็ว

ช่องโหว่ร้ายแรงใน Microsoft Office และ SharePoint

ในเดือนนี้ Microsoft ยังแก้ไขช่องโหว่ Remote Code Execution (RCE) หลายรายการในชุด Microsoft Office ที่แฮกเกอร์สามารถโจมตีได้เพียงแค่ผู้ใช้งานเปิดเอกสาร หรือดูตัวอย่างไฟล์ใน preview pane เท่านั้น โดยช่องโหว่ที่สำคัญ ได้แก่:

  • CVE-2025-49695, CVE-2025-49696, CVE-2025-49702 – RCE ใน Microsoft Office
  • CVE-2025-49703, CVE-2025-49698 – RCE ใน Microsoft Word
  • CVE-2025-49704 – ช่องโหว่ RCE ใน SharePoint ที่สามารถโจมตีผ่านอินเทอร์เน็ตได้ ถ้าผู้โจมตีมีบัญชีผู้ใช้งานบนระบบ

ขณะนี้ยังไม่มีแพตช์สำหรับ Microsoft Office LTSC บน Mac 2021 และ 2024 แต่ Microsoft ระบุว่าจะปล่อยอัปเดตในเร็ว ๆ นี้

ช่องโหว่ระดับฮาร์ดแวร์: AMD Transient Scheduler Attacks

อ้างอิงจากรายงานของ Microsoft พบว่ามีการเปิดเผยช่องโหว่ใหม่ 2 รายการบนซีพียู AMD ซึ่งเกี่ยวข้องกับกลไกการจัดคิวข้อมูลในระดับฮาร์ดแวร์ ได้แก่:

  • CVE-2025-36357 – ช่องโหว่ใน L1 Data Queue (ระดับ Critical)
  • CVE-2025-36350 – ช่องโหว่ใน Store Queue (ระดับ Critical)

ช่องโหว่เหล่านี้เป็น side-channel attack ประเภทหนึ่ง ที่อาจทำให้แฮกเกอร์สามารถลอบดึงข้อมูลจากกระบวนการอื่นได้

ผู้ผลิตอื่นที่ออกอัปเดตในเดือนกรกฎาคม 2025

นอกจาก Microsoft แล้ว ยังมีบริษัทอื่นที่ปล่อยอัปเดตความปลอดภัยในเดือนเดียวกัน ได้แก่:

  • AMD: ร่วมเปิดเผยช่องโหว่ CPU จากการวิจัยของ Microsoft
  • Cisco: แก้ไขปัญหา root SSH credentials ฝังมาใน Unified CM
  • Fortinet: อัปเดตหลายผลิตภัณฑ์ เช่น FortiOS, FortiManager
  • Google: แก้ไข zero-day (CVE-2025-6554) ใน Google Chrome
  • Ivanti: แพตช์สำหรับ Connect Secure, EPMM
  • SAP: เพิ่มระดับความรุนแรงของช่องโหว่ในระบบจัดการซัพพลายเออร์เป็น 10/10

คำแนะนำสำหรับผู้ดูแลระบบ

เนื่องจากมีช่องโหว่ที่เกี่ยวข้องกับระบบสำคัญอย่าง SQL Server, Office, SharePoint และ Windows Kernel จึงควรดำเนินการดังนี้:

  • อัปเดตระบบปฏิบัติการและโปรแกรมให้เป็นเวอร์ชันล่าสุด
  • ตรวจสอบว่า SQL Server ใช้ OLE DB Driver 18 หรือ 19 แล้ว
  • หลีกเลี่ยงการเปิดไฟล์ Office จากแหล่งที่ไม่น่าไว้ใจ
  • ติดตามอัปเดต BIOS หรือ Firmware สำหรับ CPU ที่อาจได้รับผลกระทบ

สรุป Microsoft Patch Tuesday เดือนกรกฎาคม 2025

ถือว่าเป็นหนึ่งในเดือนที่มีจำนวนช่องโหว่มากที่สุดในรอบปี โดยมีทั้ง Zero-Day ที่ถูกเปิดเผยสู่สาธารณะ และช่องโหว่ที่สามารถโจมตีได้ง่ายเพียงแค่เปิดเอกสาร

ที่มา: bleepingcomputer

In this article:, ,
Click to comment

บทความน่าสนใจ

260112 microsoft edge security update cve 2026 0628 260112 microsoft edge security update cve 2026 0628

IT NEWS

Microsoft อัปเดต Edge แก้ช่องโหว่ความปลอดภัยระดับร้ายแรง CVE-2026-0628

Microsoft กลับมาเดินหน้าอัปเดตซอฟต์แวร์ตามรอบปกติอีกครั้ง หลังผ่านช่วงวันหยุดยาวปลายปี ล่าสุด Microsoft ได้เริ่มปล่อยอัปเดตใหม่ให้กับ Microsoft Edge บนเวอร์ชันเดสก์ท็อป โดยเป็นอัปเดตด้านความปลอดภัยที่สำคัญ ซึ่งมาพร้อมการแก้ไขช่องโหว่ระดับร้ายแรงใน Chromium Microsoft Edge เวอร์ชันล่าสุดที่เปิดให้ใช้งานแล้วคือเวอร์ชัน 143.0.3650.139 โดยเน้นไปที่การอุดช่องโหว่ด้านความปลอดภัยเป็นหลัก พร้อมปรับปรุงเสถียรภาพของระบบโดยรวม Advertisement Microsoft Edge เวอร์ชัน 143.0.3650.139 มีอะไรใหม่บ้าง...

19 hours ago
260112 intel 18a panther lake foundry 260112 intel 18a panther lake foundry

IT NEWS

อดีตซีอีโอ Intel อ้างเป็นผู้วางรากฐาน 18A และ Panther Lake ชี้รัฐบาลสหรัฐคือกุญแจดึง NVIDIA เข้า Foundry

หลังจาก Intel สร้างกระแสครั้งใหญ่ในงาน CES 2026 ด้วยการเปิดตัวแพลตฟอร์ม Panther Lake ซึ่งเป็นซีพียูรุ่นแรกที่ผลิตด้วยกระบวนการผลิตระดับ Intel 18A ล่าสุด Pat Gelsinger อดีตซีอีโอของ Intel ก็ออกมาแสดงความเห็นเกี่ยวกับความสำเร็จครั้งนี้ พร้อมอ้างว่าเทคโนโลยีสำคัญเบื้องหลัง 18A และ Panther Lake เป็นผลงานที่เขาวางรากฐานไว้ตั้งแต่สมัยยังบริหารบริษัท Gelsinger...

20 hours ago
260112 amd ryzen ai 400 am5 desktop 260112 amd ryzen ai 400 am5 desktop

IT NEWS

AMD คอนเฟิร์ม Ryzen AI 400 และ Ryzen AI PRO 400 เตรียมลงเดสก์ท็อป AM5 ใช้ Zen 5 + RDNA 3.5 + XDNA 2 เต็มรูปแบบ

AMD เดินหน้ารุกตลาดเดสก์ท็อปอีกขั้น หลังยืนยันอย่างเป็นทางการในงาน CES 2026 ว่า Ryzen AI 400 และ Ryzen AI PRO 400 เตรียมลงแพลตฟอร์ม AM5 สำหรับพีซีเดสก์ท็อปรุ่นใหม่ โดยใช้โค้ดเนมว่า Gorgon Point ซึ่งถือเป็น APU เจเนอเรชันใหม่ที่รวมพลังของ CPU,...

22 hours ago
260109 keychron nape pro trackball 260109 keychron nape pro trackball

IT NEWS

Keychron เปิดตัว Nape Pro แทร็กบอลดีไซน์แปลกตา ใช้งานคู่คีย์บอร์ดแบบไม่ต้องยกมือ

ถ้าพูดถึง Keychron หลายคนอาจนึกถึงคีย์บอร์ด Mechanical คุณภาพสูง ดีไซน์เรียบหรู และเน้นความยืดหยุ่นในการปรับแต่งเป็นหลัก แต่ในงาน CES 2026 ที่ลาสเวกัส ปีนี้ Keychron ได้สร้างความแปลกใหม่ด้วยการเปิดตัวอุปกรณ์เสริมที่ไม่ใช่คีย์บอร์ด นั่นก็คือ Keychron Nape Pro แทร็กบอลดีไซน์แปลกตาที่ออกแบบมาให้ใช้งานชิดกับคีย์บอร์ดโดยเฉพาะ Nape Pro ถูกพัฒนาร่วมกับทีมงานจาก Gizmodo Japan...

4 days ago

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว

ยอมรับ
Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

บันทึก