Microsoft ออกแพตช์ Patch Tuesday ประจำเดือนมิถุนายน 2026 แก้ช่องโหว่ 200 รายการ รวม 3 Zero-day

Microsoft ปล่อยอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนมิถุนายน 2026 แก้ไขช่องโหว่รวม 200 รายการ ในจำนวนนี้มีช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะแล้ว 3 รายการ แต่ยังไม่พบการนำไปใช้โจมตีจริง

อัปเดตในรอบนี้ครอบคลุมช่องโหว่ระดับ Critical จำนวน 33 รายการ โดยในกลุ่มนี้ 28 รายการเป็นช่องโหว่ประเภท Remote Code Execution, 4 รายการเป็น Elevation of Privilege และอีก 1 รายการเป็น Information Disclosure ทั้งนี้จำนวนช่องโหว่ดังกล่าวยังไม่นับรวมช่องโหว่ในผลิตภัณฑ์อย่าง Mariner, Azure HorizonDB, Microsoft Copilot, Microsoft Exchange Online และ Microsoft Graph ที่ Microsoft ได้แก้ไขไปก่อนหน้านี้ในเดือนเดียวกัน รวมถึงช่องโหว่ฝั่ง Microsoft Edge/Chromium อีกกว่า 360 รายการที่ Google เป็นผู้แก้ไข

หากแบ่งตามประเภทของช่องโหว่ จะประกอบด้วย Elevation of Privilege 65 รายการ, Remote Code Execution 55 รายการ, Information Disclosure 30 รายการ, Spoofing 27 รายการ, Security Feature Bypass 19 รายการ และ Denial of Service อีก 7 รายการ ครอบคลุมผลิตภัณฑ์หลากหลายตั้งแต่ Windows Kernel, Microsoft Office, SharePoint Server, Hyper-V, Remote Desktop Client ไปจนถึง Visual Studio Code และ Azure Kubernetes Service

สำหรับช่องโหว่ Zero-day ทั้ง 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้ว ได้แก่ CVE-2026-45586 ช่องโหว่ Elevation of Privilege บน Windows Collaborative Translation Framework (CTFMON) ที่เกิดจากการจัดการ link following อย่างไม่เหมาะสม เปิดทางให้ผู้โจมตีที่มีสิทธิ์อยู่แล้วยกระดับสิทธิ์เป็น SYSTEM ได้, CVE-2026-49160 ช่องโหว่ Denial of Service บน HTTP.sys หรือที่รู้จักกันในชื่อ “HTTP/2 Bomb” ซึ่งอาศัยกลไกการบีบอัดและจัดการ header ของโปรโตคอล HTTP/2 ทำให้ผู้โจมตีส่งข้อมูลปริมาณเล็กน้อยแต่บังคับให้เซิร์ฟเวอร์จองหน่วยความจำจำนวนมหาศาลจนเกิดปัญหาด้านประสิทธิภาพหรือล่ม และ CVE-2026-50507 ช่องโหว่ Security Feature Bypass บน Windows BitLocker ที่เปิดทางให้ผู้โจมตีที่เข้าถึงเครื่องทางกายภาพสามารถข้ามการเข้ารหัสและเข้าถึงไดรฟ์ที่ถูกป้องกันไว้ได้

ในส่วนของ HTTP/2 Bomb นั้น Microsoft ได้เพิ่มการตั้งค่า registry ใหม่ชื่อ MaxHeadersCount เพื่อจำกัดจำนวน header ในคำขอ HTTP/2 และ HTTP/3 ที่เซิร์ฟเวอร์จะยอมรับ พร้อมออก เอกสารแนะนำการใช้งาน ประกอบ ขณะที่ช่องโหว่ BitLocker นั้นเป็นการแก้ไขช่องโหว่ที่รู้จักในชื่อ YellowKey ซึ่งสามารถถูกใช้โจมตีได้ด้วยการวางไฟล์ที่ออกแบบมาเป็นพิเศษไว้บน USB drive หรือ EFI partition แล้วบูตเข้าสู่ Windows Recovery Environment (WinRE) โดยช่องโหว่นี้ส่งผลกระทบหลักกับระบบที่ใช้การป้องกันแบบ TPM-only บน Windows 11 และ Windows Server 2022/2025 ทาง Microsoft จึงแนะนำมาตรการบรรเทาผลกระทบชั่วคราวด้วยการเปิดใช้การยืนยันตัวตนแบบ TPM+PIN แทนการพึ่งพา TPM เพียงอย่างเดียว แนะนำให้ผู้ดูแลระบบเร่งติดตั้งอัปเดตในรอบนี้โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/