Black Hat Asia 2023

Microsoft แพตช์ประจำเดือนกรกฏาคมอุดช่องโหว่ zero-days 9 รายการ แนะผู้ใช้เร่งอัปเดต

สำหรับแพตช์เดือนกรกฏาคม Microsoft ได้แก้ไขช่องโหว่ Zero-days ถึง 9 ซึ่ง 4 รายถูกใช้โจมตีจริงแล้ว

Credit: alexmillos/ShutterStock

ภาพรวมของแพตช์ประกอบด้วยช่องโหว่ 117 รายการ จำแนกตามความรุนแรง เป็นระดับร้ายแรง 13 รายการ ปานกลาง 1 และสำคัญ 103 โดยหากแบ่งตามประเภทช่องโหว่จะมี Remote Code Execution ถึง 44 รายการ ช่องโหว่ยกระดับสิทธิ์ 32 รายการ การเปิดเผยข้อมูล 14 รายการ DoS 12 รายการ และที่เหลือคือใช้เพื่อ Bypass ฟีเจอร์ด้าน Security และ Spoofing 

ไฮไลต์ของแพตช์ครั้งนี้จะอยู่ที่ Zero-days 9 รายการคือ

1.) ช่องโหว่ Zero-days 5 รายการ ที่ถูกเปิดเผยแล้วแต่ยังไม่ถูกใช้งาน

  • CVE-2021-34492 – ช่องโหว่ Windows Certificate Spoofing
  • CVE-2021-34523 – ช่องโหว่ยกระดับสิทธิ์ใน Microsoft Exchange Server
  • CVE-2021-34473 – ช่องโหว่ RCE ใน Microsoft Exchange Server
  • CVE-2021-33779 – ช่องโหว่ Security Bypass ใน Windows ADFS
  • CVE-2021-33781 – ช่องโหว่ Security Bypass ใน AD

2.) ช่องโหว่ที่ยังไม่ได้ถูกเปิดเผยรายละเอียดแต่มีการใช้โจมตีจริงแล้ว

  • CVE-2021-33771 – ช่องโหว่ยกระดับสิทธิ์ใน Windows Kernel
  • CVE-2021-34448 – ช่องโหว่ Memory Corruption ใน Scripting Engine
  • CVE-2021-31979 – ช่องโหว่ยกระดับสิทธิ์ใน Windows Kernel

CVE-2021-34527 หรือช่องโหว่ PrintNightmare ที่มีข่าวออกมาระยะหนึ่งแล้ว โดยเกิดขึ้นใน Print Spooler มีผลในเรื่องของ RCE และยกระดับสิทธิ์ ซึ่งก่อนหน้านี้มีแพตช์ฉุกเฉินออกมา และก็ยังมีเสียงจากผู้เชี่ยวชาญหลายแห่งว่ายังแพตช์ได้ไม่สมบูรณ์ แต่ Microsoft ยืนกรานว่าเป็นไปตามที่ต้องการแล้ว

สำหรับผู้สนใจดูรายละเอียดของแพตช์ทั้งหมดเข้าไปดูได้ที่ https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/July-2021.html

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/ และ https://www.zdnet.com/article/microsoft-july-2021-patch-tuesday-117-vulnerabilities-pwn2own-exchange-server-bug-fixed/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

เปิดให้เป็นเจ้าของก่อนใคร! LG Gram แล็ปท็อปรุ่นใหม่ที่สุดแห่งความเบาและทนทาน [Guest Post]

” พิเศษสำหรับ 100 เครื่องแรก รับฟรีจอมอนิเตอร์แบบพกพา LG Gram+view มูลค่า 12,250 บาท” กรุงเทพฯ, 21 มีนาคม 2566 – …