Microsoft ปล่อย Patch Tuesday กรกฎาคม 2025 แก้ไข Zero-day 1 ช่องโหว่ พร้อมช่องโหว่อื่น 137 รายการ

Microsoft เปิดตัวการอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนกรกฎาคม 2025 แก้ไขช่องโหว่รวม 137 รายการ โดยมี Zero-day ที่ถูกเปิดเผยแล้ว 1 ช่องโหว่ใน SQL Server และช่องโหว่ระดับ Critical อีก 14 รายการ

อัปเดต Patch Tuesday เดือนกรกฎาคมนี้ครอบคลุมการแก้ไขช่องโหว่ที่หลากหลาย โดยมีช่องโหว่ระดับ Critical จำนวน 14 รายการ ซึ่ง 10 รายการเป็นช่องโหว่ประเภท Remote Code Execution ที่ผู้โจมตีสามารถรันโค้ดจากระยะไกล 1 รายการเป็น Information Disclosure และอีก 2 รายการเป็นช่องโหว่ AMD Side Channel Attack สำหรับประเภทของช่องโหว่ทั้งหมดประกอบด้วย Elevation of Privilege 53 รายการ, Security Feature Bypass 8 รายการ, Remote Code Execution 41 รายการ, Information Disclosure 18 รายการ, Denial of Service 6 รายการ และ Spoofing 4 รายการ

ช่องโหว่ Zero-day ที่ถูกแก้ไขในครั้งนี้คือ CVE-2025-49719 ซึ่งเป็นช่องโหว่ Microsoft SQL Server Information Disclosure Vulnerability ที่เกิดจากการตรวจสอบ input ที่ไม่เหมาะสมใน SQL Server ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลจาก uninitialized memory ผ่านเครือข่ายได้ ผู้ดูแลระบบสามารถแก้ไขได้โดยติดตั้ง SQL Server เวอร์ชันล่าสุดพร้อมกับ Microsoft OLE DB Driver 18 หรือ 19 โดย Microsoft ระบุว่าช่องโหว่นี้ถูกค้นพบโดย Vladimir Aleksic จาก Microsoft แต่ไม่ได้ให้รายละเอียดว่าถูกเปิดเผยต่อสาธารณะอย่างไร

นอกจากนี้ยังมีช่องโหว่ Critical อื่นๆ ที่สำคัญ เช่น ช่องโหว่ Remote Code Execution หลายรายการใน Microsoft Office ที่สามารถถูกโจมตีได้เพียงแค่เปิดเอกสารที่ถูกสร้างขึ้นมาเป็นพิเศษ หรือแม้แต่การดูผ่าน preview pane อย่างไรก็ตาม Microsoft แจ้งว่าการอัปเดตสำหรับ Microsoft Office LTSC for Mac 2021 และ 2024 ยังไม่พร้อมใช้งานและจะปล่อยออกมาในเร็วๆ นี้ ช่องโหว่ Critical อีกตัวที่น่าสนใจคือ CVE-2025-49704 ใน Microsoft SharePoint ที่สามารถถูกโจมตีจากระยะไกลผ่านอินเทอร์เน็ต โดยผู้โจมตีต้องมีบัญชีผู้ใช้งานบนแพลตฟอร์มเท่านั้น

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2025-patch-tuesday-fixes-one-zero-day-137-flaws/