Microsoft แก้ไขช่องโหว่ Zero-day 1 รายการและช่องโหว่อื่นๆ อีก 134 รายการ

Microsoft เปิดตัวแพตช์ความปลอดภัยประจำเดือนเมษายน 2025 แก้ไขช่องโหว่ทั้งหมด 134 รายการ รวมถึงช่องโหว่ Zero-day ที่กำลังถูกโจมตีอยู่ 1 รายการ และช่องโหว่ประเภท Critical อีก 11 รายการ

การอัปเดตครั้งนี้แก้ไขช่องโหว่ที่สำคัญทั้งหมด 134 รายการ ในหลายผลิตภัณฑ์ โดยแบ่งตามหมวดหมู่ดังนี้:

• Elevation of Privilege จำนวน 49 รายการ
• Security Feature Bypass จำนวน 9 รายการ
• Remote Code Execution จำนวน 31 รายการ
• Information Disclosure จำนวน 17 รายการ
• Denial of Service จำนวน 14 รายการ
• Spoofing จำนวน 3 รายการ

ทั้งนี้ไม่รวมช่องโหว่ใน Mariner และช่องโหว่ใน Microsoft Edge อีก 13 รายการที่ได้รับการแก้ไขไปก่อนหน้านี้

สำหรับช่องโหว่ Zero-day ที่กำลังถูกโจมตีอยู่คือ CVE-2025-29824 ซึ่งเป็นช่องโหว่ประเภท Elevation of Privilege ใน Windows Common Log File System Driver ที่อาจทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น SYSTEM บนอุปกรณ์ได้ โดยขณะนี้การอัปเดตมีให้เฉพาะสำหรับ Windows Server และ Windows 11 เท่านั้น ส่วน Windows 10 จะได้รับการอัปเดตในภายหลัง หลังจากบทความนี้ได้รับการเผยแพร่ Microsoft ได้ให้ข้อมูลเพิ่มเติมว่าช่องโหว่นี้ถูกใช้โดยกลุ่ม RansomEXX Ransomware ในการยกระดับสิทธิ์ โดยช่องโหว่นี้ถูกค้นพบโดย Microsoft Threat Intelligence Center

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2025-patch-tuesday-fixes-exploited-zero-day-134-flaws/