TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft ปล่อยอัปเดตด้านความปลอดภัย Patch Tuesday ประจำเดือนพฤษภาคม 2026 แก้ไขช่องโหว่ทั้งหมด 120 รายการ โดยไม่มีช่องโหว่ Zero-day ในรอบนี้
อัปเดตรอบนี้ประกอบด้วยช่องโหว่ระดับ Critical จำนวน 17 รายการ โดยเป็นช่องโหว่ Remote Code Execution (RCE) 14 รายการ, Elevation of Privilege 2 รายการ และ Information Disclosure 1 รายการ เมื่อแบ่งตามประเภทแล้ว มีช่องโหว่ Elevation of Privilege สูงสุดถึง 61 รายการ, RCE 31 รายการ, Information Disclosure 14 รายการ, Spoofing 13 รายการ, Denial of Service 8 รายการ และ Security Feature Bypass 6 รายการ ทั้งนี้ตัวเลขดังกล่าวไม่รวมช่องโหว่ที่ Microsoft แก้ไขไปก่อนหน้านี้ใน Mariner, Azure, Copilot, Microsoft Teams และ Microsoft Partner Center รวมถึงช่องโหว่อีก 131 รายการบน Microsoft Edge/Chromium ที่ Google แก้ไขในเดือนเดียวกัน
แม้รอบนี้จะไม่มี Zero-day แต่มีช่องโหว่ที่น่าสนใจหลายรายการ โดยเฉพาะช่องโหว่ RCE บน Microsoft Office, Word และ Excel จำนวนมากที่สามารถถูกโจมตีได้เพียงแค่เปิดไฟล์อันตราย และหลายรายการยังสามารถโจมตีผ่าน Preview Pane ได้ด้วย จึงแนะนำให้อัปเดต Microsoft Office โดยด่วน นอกจากนี้ยังมีช่องโหว่สำคัญอื่นๆ ได้แก่ CVE-2026-35421 ช่องโหว่ RCE บน Windows GDI ที่ถูกโจมตีผ่านการเปิดไฟล์ Enhanced Metafile (EMF) ด้วย Microsoft Paint, CVE-2026-40365 ช่องโหว่ RCE บน SharePoint Server ที่ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดจากระยะไกลได้ และ CVE-2026-41096 ช่องโหว่ RCE บน Windows DNS Client ที่ผู้โจมตีสามารถส่ง DNS Response พิเศษเข้ามาเพื่อ Corrupt หน่วยความจำและรันโค้ดบนเครื่องเป้าหมายได้
