Microsoft ปล่อยอัปเดตความปลอดภัย (Patch Tuesday) ประจำเดือนมิถุนายน 2026 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 200 รายการ โดยในรอบนี้มีช่องโหว่ Zero-Day ที่ถูกเปิดเผยต่อสาธารณะแล้ว 3 รายการ แต่ยังไม่มีรายงานว่าถูกนำไปใช้โจมตีจริง

สำหรับ Windows 11 มีการปล่อย cumulative update รหัส KB5094126 และ KB5093998 ส่วน Windows 10 ที่อยู่ในโครงการ Extended Security Update (ESU) ได้รับอัปเดต KB5094127

ในการอัปเดตรอบนี้ มีช่องโหว่ระดับร้ายแรง (Critical) จำนวน 33 รายการ แบ่งเป็นช่องโหว่รันโค้ดจากระยะไกล (Remote Code Execution – RCE) 28 รายการ, ช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege) 4 รายการ และช่องโหว่เปิดเผยข้อมูล (Information Disclosure) อีก 1 รายการ

รายละเอียดช่องโหว่ที่ได้รับการแก้ไขมีดังนี้

  • ช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege): 65 รายการ
  • ช่องโหว่หลบเลี่ยงระบบความปลอดภัย (Security Feature Bypass): 19 รายการ
  • ช่องโหว่รันโค้ดจากระยะไกล (Remote Code Execution): 55 รายการ
  • ช่องโหว่เปิดเผยข้อมูล (Information Disclosure): 30 รายการ
  • ช่องโหว่โจมตีให้ระบบล่ม (Denial of Service): 7 รายการ
  • ช่องโหว่ปลอมแปลงตัวตน (Spoofing): 27 รายการ

ตัวเลขดังกล่าวไม่รวมช่องโหว่ของ Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online, Microsoft Graph รวมถึงช่องโหว่ของ Microsoft Edge/Chromium จำนวนมากที่ถูกแก้ไขไปก่อนหน้านี้ในเดือนเดียวกัน

รายละเอียดของ Zero-Day ทั้ง 3 ตัว

CVE-2026-45586 (Windows Collaborative Translation Framework – GreenPlasma) ความรุนแรง 7.8/10 คะแนน

เป็นช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege) ในระบบ CTFMON ของ Windows ที่ถูกเปิดเผยต่อสาธารณะแล้ว ผู้โจมตีที่มีสิทธิ์เข้าถึงเครื่องอยู่ก่อน สามารถใช้ช่องโหว่นี้ยกระดับสิทธิ์เป็น SYSTEM ซึ่งเป็นสิทธิ์สูงสุดของระบบปฏิบัติการได้ ส่งผลให้สามารถควบคุมเครื่อง ติดตั้งมัลแวร์ หรือเข้าถึงข้อมูลสำคัญได้

CVE-2026-49160 (HTTP.sys – HTTP/2 Bomb) ความรุนแรง 7.5/10 คะแนน

เป็นช่องโหว่โจมตีให้ระบบล่ม (Denial of Service) ที่ถูกเปิดเผยต่อสาธารณะแล้ว ผู้โจมตีสามารถส่งข้อมูล HTTP/2 ขนาดเล็ก แต่บังคับให้เซิร์ฟเวอร์ใช้หน่วยความจำจำนวนมากผิดปกติ จนส่งผลกระทบต่อประสิทธิภาพหรือทำให้บริการหยุดทำงานได้ Microsoft ได้เพิ่มค่า Registry ใหม่ชื่อ MaxHeadersCount เพื่อช่วยลดความเสี่ยงจากการโจมตีรูปแบบนี้

CVE-2026-50507 (Windows BitLocker – YellowKey) ความรุนแรง 6.8/10 คะแนน

เป็นช่องโหว่หลบเลี่ยงระบบความปลอดภัย (Security Feature Bypass) ที่ถูกเปิดเผยต่อสาธารณะแล้ว ผู้โจมตีที่สามารถเข้าถึงเครื่องจริง (Physical Access) อาจใช้ USB หรือไฟล์ที่ถูกสร้างขึ้นเป็นพิเศษ เพื่อบูตเข้าสู่ Windows Recovery Environment (WinRE) และเข้าถึงข้อมูลในไดรฟ์ที่เข้ารหัสด้วย BitLocker ได้ โดยเฉพาะเครื่องที่ใช้ BitLocker แบบ TPM-only บน Windows 11 และ Windows Server 2022/2025 ซึ่ง Microsoft แนะนำให้เปิดใช้งาน TPM+PIN เพื่อเพิ่มความปลอดภัยเพิ่มเติม

ขณะเดียวกัน ผู้ผลิตซอฟต์แวร์รายอื่นก็ออกอัปเดตความปลอดภัยในเดือนมิถุนายนเช่นกัน เช่น Acer, Adobe, Check Point, Cisco, Fortinet, Google, Ivanti, Ubiquiti, SAP และ Veeam โดยบางรายแก้ไขช่องโหว่ร้ายแรง รวมถึงช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว

แนะนำให้ผู้ดูแลระบบและผู้ใช้งานรีบติดตั้งอัปเดตความปลอดภัยของ Microsoft และซอฟต์แวร์ที่เกี่ยวข้องโดยเร็ว โดยเฉพาะองค์กรที่ใช้งาน Windows Server, IIS, BitLocker และระบบที่เปิดให้บริการผ่านเครือข่าย เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่เหล่านี้

ที่มา : bleepingcomputer