Microsoft ปล่อยแพตช์ Patch Tuesday มีนาคม 2026 แก้ช่องโหว่ 79 รายการ รวม 2 Zero-day

Microsoft ปล่อยอัปเดตความปลอดภัยประจำเดือนมีนาคม 2026 แก้ไขช่องโหว่รวม 79 รายการ ในจำนวนนี้มีช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 2 รายการ และช่องโหว่ระดับ Critical อีก 3 รายการ

ช่องโหว่ที่ได้รับการแก้ไขในครั้งนี้แบ่งตามประเภทได้แก่ Elevation of Privilege 46 รายการ, Remote Code Execution 18 รายการ, Information Disclosure 10 รายการ, Denial of Service 4 รายการ, Spoofing 4 รายการ และ Security Feature Bypass 2 รายการ สำหรับช่องโหว่ Zero-day ทั้ง 2 รายการนั้นเป็นช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะแล้วแต่ยังไม่พบการถูกใช้โจมตีจริง ได้แก่ CVE-2026-21262 ซึ่งเป็นช่องโหว่ Elevation of Privilege บน SQL Server ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น SQLAdmin ผ่านเครือข่ายได้ และ CVE-2026-26127 ซึ่งเป็นช่องโหว่ Denial of Service บน .NET ที่เกิดจากปัญหา Out-of-bounds Read ทำให้ผู้โจมตีสามารถทำให้ระบบหยุดให้บริการผ่านเครือข่ายได้

นอกจากนี้ยังมีช่องโหว่ที่น่าสนใจอีกหลายรายการ โดยเฉพาะช่องโหว่ Remote Code Execution บน Microsoft Office 2 รายการ (CVE-2026-26110 และ CVE-2026-26113) ที่สามารถถูกโจมตีได้ผ่าน Preview Pane ทำให้ผู้ใช้งานควรอัปเดตแอปพลิเคชันโดยเร็ว อีกรายการที่น่าจับตาคือช่องโหว่ Information Disclosure บน Microsoft Excel (CVE-2026-26144) ซึ่งอาจถูกใช้เพื่อขโมยข้อมูลผ่าน Microsoft Copilot โดย Microsoft ระบุว่าผู้โจมตีสามารถทำให้ Copilot Agent Mode ส่งข้อมูลออกไปยังเครือข่ายภายนอกได้โดยที่ผู้ใช้งานไม่ต้องคลิกอะไรเลย (Zero-click Attack) ช่องโหว่นี้ได้รับการจัดระดับเป็น Critical

สำหรับผู้ดูแลระบบ แนะนำให้ดำเนินการแพตช์โดยด่วน โดยเฉพาะช่องโหว่บน Microsoft Office ที่ถูกโจมตีผ่าน Preview Pane ได้และช่องโหว่บน Excel ที่เกี่ยวข้องกับ Copilot นอกจาก Microsoft แล้ว ในเดือนนี้ยังมีบริษัทอื่นที่ปล่อยอัปเดตความปลอดภัยเช่นกัน ได้แก่ Adobe, Cisco, Fortinet, Google (แก้ช่องโหว่ Zero-day บน Android), SAP และ HPE

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/