Connect with us

Hi, what are you looking for?

Notebookspec

IT NEWS

Microsoft Patch Tuesday July 2025 แก้ไขช่องโหว่กว่า 137 รายการ รวมถึง 1 Zero-Day ใน SQL Server

 |

709 Views

Microsoft Patch Tuesday

Microsoft ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนกรกฎาคม 2025 หรือ Microsoft Patch Tuesday ซึ่งครอบคลุมการแก้ไขช่องโหว่จำนวนมากถึง 137 รายการ โดยหนึ่งในนั้นเป็น Zero-Day ที่ถูกเปิดเผยต่อสาธารณะแล้วใน Microsoft SQL Server และยังมีช่องโหว่ระดับ “วิกฤติ” (Critical) อีก 14 รายการ ที่รวมถึงช่องโหว่ Remote Code Execution (RCE) ถึง 10 จุด

Advertisement

สรุปช่องโหว่ที่ถูกแก้ไขใน Microsoft Patch Tuesday เดือนนี้

ประเภทช่องโหว่จำนวน
Elevation of Privilege53
Security Feature Bypass8
Remote Code Execution (RCE)41
Information Disclosure18
Denial of Service (DoS)6
Spoofing4

อธิบายเพิ่มเติม: ช่องโหว่แต่ละประเภทคืออะไร?

สำหรับผู้อ่านทั่วไปที่อาจไม่คุ้นเคยกับศัพท์เทคนิคด้านความปลอดภัย ต่อไปนี้คือคำอธิบายแบบเข้าใจง่ายของแต่ละหมวดหมู่ช่องโหว่ที่ Microsoft แก้ไขในรอบนี้:

  • Elevation of Privilege (ยกระดับสิทธิ์):
    แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อเพิ่มสิทธิ์ของตนเองในระบบ เช่น จากผู้ใช้ทั่วไปกลายเป็นผู้ดูแลระบบ เพื่อเข้าถึงข้อมูลหรือควบคุมระบบได้มากขึ้น
  • Security Feature Bypass (เลี่ยงระบบความปลอดภัย):
    เป็นการข้ามระบบป้องกันที่ออกแบบไว้ เช่น BitLocker, SmartScreen หรือระบบตรวจสอบสิทธิ์ ทำให้แฮกเกอร์เจาะผ่านได้โดยไม่ถูกสกัด
  • Remote Code Execution – RCE (สั่งรันโค้ดจากระยะไกล):
    หนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะแฮกเกอร์สามารถรันโปรแกรมอันตรายบนเครื่องของเหยื่อได้โดยไม่ต้องสัมผัสตัวเครื่อง เช่น แค่เปิดเอกสาร Word ที่ฝังโค้ดไว้
  • Information Disclosure (ข้อมูลรั่วไหล):
    ระบบอาจเปิดเผยข้อมูลที่ควรเป็นความลับ เช่น ข้อมูลในหน่วยความจำที่ยังไม่ถูกลบออก หรือข้อมูลผู้ใช้โดยไม่ได้ตั้งใจ
  • Denial of Service – DoS (ทำให้ระบบล่ม):
    การใช้ช่องโหว่เพื่อทำให้ระบบหยุดทำงานหรือไม่สามารถให้บริการได้ เช่น ทำให้เครื่องค้างหรือรีสตาร์ทตลอดเวลา
  • Spoofing (ปลอมตัว):
    การปลอมแปลงข้อมูลหรือตัวตนเพื่อหลอกระบบหรือผู้ใช้ เช่น ปลอมอีเมลจากฝ่าย IT เพื่อหลอกขอรหัสผ่าน หรือปลอมลิงก์เว็บไซต์เพื่อหลอกให้คลิก

Zero-Day ที่ถูกเปิดเผยใน SQL Server บน Microsoft Patch Tuesday

ช่องโหว่ที่มีความอันตรายที่สุดในอัปเดตนี้คือ CVE-2025-49719 – ช่องโหว่ประเภท Information Disclosure ใน Microsoft SQL Server ที่เปิดโอกาสให้แฮกเกอร์ที่ไม่ได้รับสิทธิ์เข้าถึงสามารถขโมยข้อมูลจากหน่วยความจำที่ยังไม่ได้ใช้งานผ่านเครือข่ายได้

Microsoft แนะนำให้ผู้ดูแลระบบติดตั้ง SQL Server เวอร์ชันล่าสุด พร้อมกับ Microsoft OLE DB Driver รุ่น 18 หรือ 19 เพื่ออุดช่องโหว่นี้โดยเร็ว

ช่องโหว่ร้ายแรงใน Microsoft Office และ SharePoint

ในเดือนนี้ Microsoft ยังแก้ไขช่องโหว่ Remote Code Execution (RCE) หลายรายการในชุด Microsoft Office ที่แฮกเกอร์สามารถโจมตีได้เพียงแค่ผู้ใช้งานเปิดเอกสาร หรือดูตัวอย่างไฟล์ใน preview pane เท่านั้น โดยช่องโหว่ที่สำคัญ ได้แก่:

  • CVE-2025-49695, CVE-2025-49696, CVE-2025-49702 – RCE ใน Microsoft Office
  • CVE-2025-49703, CVE-2025-49698 – RCE ใน Microsoft Word
  • CVE-2025-49704 – ช่องโหว่ RCE ใน SharePoint ที่สามารถโจมตีผ่านอินเทอร์เน็ตได้ ถ้าผู้โจมตีมีบัญชีผู้ใช้งานบนระบบ

ขณะนี้ยังไม่มีแพตช์สำหรับ Microsoft Office LTSC บน Mac 2021 และ 2024 แต่ Microsoft ระบุว่าจะปล่อยอัปเดตในเร็ว ๆ นี้

ช่องโหว่ระดับฮาร์ดแวร์: AMD Transient Scheduler Attacks

อ้างอิงจากรายงานของ Microsoft พบว่ามีการเปิดเผยช่องโหว่ใหม่ 2 รายการบนซีพียู AMD ซึ่งเกี่ยวข้องกับกลไกการจัดคิวข้อมูลในระดับฮาร์ดแวร์ ได้แก่:

  • CVE-2025-36357 – ช่องโหว่ใน L1 Data Queue (ระดับ Critical)
  • CVE-2025-36350 – ช่องโหว่ใน Store Queue (ระดับ Critical)

ช่องโหว่เหล่านี้เป็น side-channel attack ประเภทหนึ่ง ที่อาจทำให้แฮกเกอร์สามารถลอบดึงข้อมูลจากกระบวนการอื่นได้

ผู้ผลิตอื่นที่ออกอัปเดตในเดือนกรกฎาคม 2025

นอกจาก Microsoft แล้ว ยังมีบริษัทอื่นที่ปล่อยอัปเดตความปลอดภัยในเดือนเดียวกัน ได้แก่:

  • AMD: ร่วมเปิดเผยช่องโหว่ CPU จากการวิจัยของ Microsoft
  • Cisco: แก้ไขปัญหา root SSH credentials ฝังมาใน Unified CM
  • Fortinet: อัปเดตหลายผลิตภัณฑ์ เช่น FortiOS, FortiManager
  • Google: แก้ไข zero-day (CVE-2025-6554) ใน Google Chrome
  • Ivanti: แพตช์สำหรับ Connect Secure, EPMM
  • SAP: เพิ่มระดับความรุนแรงของช่องโหว่ในระบบจัดการซัพพลายเออร์เป็น 10/10

คำแนะนำสำหรับผู้ดูแลระบบ

เนื่องจากมีช่องโหว่ที่เกี่ยวข้องกับระบบสำคัญอย่าง SQL Server, Office, SharePoint และ Windows Kernel จึงควรดำเนินการดังนี้:

  • อัปเดตระบบปฏิบัติการและโปรแกรมให้เป็นเวอร์ชันล่าสุด
  • ตรวจสอบว่า SQL Server ใช้ OLE DB Driver 18 หรือ 19 แล้ว
  • หลีกเลี่ยงการเปิดไฟล์ Office จากแหล่งที่ไม่น่าไว้ใจ
  • ติดตามอัปเดต BIOS หรือ Firmware สำหรับ CPU ที่อาจได้รับผลกระทบ

สรุป Microsoft Patch Tuesday เดือนกรกฎาคม 2025

ถือว่าเป็นหนึ่งในเดือนที่มีจำนวนช่องโหว่มากที่สุดในรอบปี โดยมีทั้ง Zero-Day ที่ถูกเปิดเผยสู่สาธารณะ และช่องโหว่ที่สามารถโจมตีได้ง่ายเพียงแค่เปิดเอกสาร

ที่มา: bleepingcomputer

In this article:, ,
Click to comment

บทความน่าสนใจ

260305 amd ray regeneration optiscaler cyberpunk 260305 amd ray regeneration optiscaler cyberpunk

IT NEWS

AMD Ray Regeneration ผ่าน Optiscaler เริ่มใช้กับ Cyberpunk 2077 ได้แล้ว และผลลัพธ์ดีกว่าที่คิด

ใครที่ติดตามฝั่งม็อดเกมและเทคโนโลยีอัปสเกลภาพ น่าจะคุ้นชื่อ Optiscaler กันอยู่แล้ว เพราะเครื่องมือนี้กลายเป็นของเล่นชิ้นสำคัญสำหรับสายแต่งเกมที่อยากสลับเทคโนโลยีภาพข้ามค่าย ไม่ว่าจะเป็น DLSS, FSR หรือ XeSS ให้ไปทำงานในเกมที่ไม่ได้รองรับแบบตรง ๆ ล่าสุดมีความเคลื่อนไหวที่น่าสนใจมาก เพราะตอนนี้มีการทดลองนำ AMD Ray Regeneration ไปใช้งานใน Cyberpunk 2077 ผ่าน Optiscaler ได้แล้ว และผลที่ออกมาถือว่าน่าประทับใจพอสมควร...

2 days ago
260305 nvidia china h200 vera rubin shift 260305 nvidia china h200 vera rubin shift

IT NEWS

NVIDIA เริ่มถอยจากจีน หันมาดัน Vera Rubin แทน หลังแผน H200 สะดุดไม่หยุด

NVIDIA กำลังส่งสัญญาณชัดขึ้นเรื่อย ๆ ว่า ตลาดจีนอาจไม่ใช่พื้นที่ที่บริษัทพร้อมจะ “ลุยต่อแบบเดิม” อีกแล้ว หลังมีรายงานล่าสุดจาก Financial Times เมื่อวันที่ 5 มีนาคม 2026 ว่า บริษัทได้หยุดการผลิตชิป AI รุ่น H200 ที่เดิมวางไว้สำหรับตลาดจีน และเริ่มโยกทรัพยากรไปให้กับแพลตฟอร์มใหม่อย่าง Vera Rubin มากขึ้นแทน...

2 days ago
260305 macbook neo a18 pro 5 core gpu 260305 macbook neo a18 pro 5 core gpu

IT NEWS

MacBook Neo ที่ใช้ A18 Pro เหมือน iPhone 16 Pro แต่ถูกลด GPU เหลือ 5 คอร์ ต่างกันแค่ไหนและกระทบอะไรบ้าง ?

Apple เพิ่งเปิดตัว MacBook Neo อย่างเป็นทางการเมื่อวันที่ 4 มีนาคม 2569 โดยชูจุดขายว่าเป็น MacBook รุ่นใหม่ที่เข้าถึงง่ายที่สุดของบริษัท พร้อมราคาเริ่มต้นในไทยที่ 19,900 บาท และใช้ชิป A18 Pro เป็นหัวใจหลักของเครื่อง แต่ประเด็นที่หลายคนสนใจมากที่สุด กลับไม่ใช่แค่เรื่องราคา เพราะเมื่อดูสเปกละเอียดจะพบว่า A18 Pro ใน...

3 days ago
260304 xbox ai helper patent 260304 xbox ai helper patent

IT NEWS

Microsoft จดสิทธิบัตร Xbox AI ที่ให้ AI รับช่วงเล่นเกมแทน เมื่อผู้เล่นติดด่านที่เล่นไม่ผ่าน

ในช่วงต้นเดือนมีนาคม 2026 มีประเด็นหนึ่งที่ถูกพูดถึงมากในฝั่งเกมคอนโซล หลังมีการหยิบคำขอสิทธิบัตรของ Microsoft ขึ้นมาพูดถึงอีกครั้ง โดยใจความสำคัญคือแนวคิดของระบบ AI ที่จะเข้ามาช่วยผู้เล่นเวลาติดด่าน ติดบอส หรือผ่านฉากบางช่วงไม่ได้ จนต้องหยุดเล่นแล้วออกไปหาแนวทางจากข้างนอก ประเด็นนี้น่าสนใจตรงที่สิทธิบัตรดังกล่าวไม่ได้พูดถึงแค่การให้คำแนะนำบนหน้าจอแบบเดิม แต่เป็นการออกแบบระบบที่ให้ “ผู้ช่วย” เข้ามารับช่วงการควบคุมเกมได้ชั่วคราว ซึ่งผู้ช่วยคนนั้นอาจเป็นผู้เล่นจริงที่ได้รับอนุญาตไว้ก่อน หรืออาจเป็น AI ก็ได้ แนวคิดนี้จึงทำให้หลายคนมองว่า Microsoft กำลังลองคิดไกลกว่าระบบ hint...

4 days ago

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว

ยอมรับ
Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

บันทึก