Microsoft ออกแพตช์ประจำเดือนตุลาคม อุดช่องโหว่กว่า 85 ตัว

Microsoft ออกแพตช์ประจำเดือนตุลาคม อุดช่องโหว่กว่า 85 ตัว ครอบคลุมช่องโหว่ในหลายผลิตภัณฑ์ รวมถึงช่องโหว่ Zero-day ใหม่ใน Windows ที่กำลังถูกโจมตี

Credit: alexmillos/ShutterStock

ช่องโหว่ Zero-day ใหม่คือ CVE-2022-41033 เป็นช่องโหว่ชนิด Elevation of Privilege เกิดขึ้นจากบั๊กใน Windows COM+ Event Service ที่ใช้ในการแจ้งเตือนเมื่อผู้ใช้งานทำการ Logon หรือ Logoff โดย Microsoft แจ้งเพิ่มเติมว่าช่องโหว่นี้กำลังถูกใช้โจมตีเป็นวงกว้าง ถึงแม้ว่าช่องโหว่นี้จะมีความรุนแรงระดับ Important แต่ผู้เชี่ยวชาญทางด้านความปลอดภัยแนะนำว่าควรรีบทำการอัปเดต เนื่องจากช่องโหว่ Local Privilege Escalation ส่วนใหญ่ถูกใช้เป็นช่องทางเริ่มต้นในการสร้างความเสียหายในระดับเครือข่าย

ส่วนช่องโหว่อื่นที่มีความสำคัญ เช่น CVE-2022-37968 เกิดขึ้นในระบบ Kubenetes Cluster บน Azure ก็ได้รับการแก้ไขเช่นเดียวกัน โดยช่องโหว่นี้มีความรุนแรงตาม CVSS Score ถึง 10.0 อย่างไรก็ตามช่องโหว่ “ProxyNotShell” ใน Microsoft Exchange Server ที่พบการโจมตีก่อนหน้านี้ ยังไม่ได้รับการแพตช์ในรอบนี้แต่อย่างใด โดย Rapid7 เผยว่า จากการตรวจสอบแล้ว พบ Microsoft Exchange Server ในอินเทอร์เน็ตกว่า 190,000 ตัว มีความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่นี้

ที่มา: https://krebsonsecurity.com/2022/10/microsoft-patch-tuesday-october-2022-edition/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …