Microsoft ออกแพตช์ประจำเดือนกรกฎาคมเพื่อแก้ไขช่องโหว่กว่า 137 รายการ

Last updated: 11 Jul 2025

422 Views

สรุปข้อมูล

Microsoft ได้ออกอัปเดตแพตช์ความปลอดภัยประจำเดือนกรกฎาคม 2025 รวมทั้งหมด 137 รายการ ซึ่งหนึ่งในนั้นคือช่องโหว่ Zero-day CVE-2025-49719 ใน Microsoft SQL Server ในจำนวนช่องโหว่ทั้งหมดนั้นสามารถส่งผลกระทบต่อระบบ Windows Kernel, Hyper-V, BitLocker, Office, SQL Server และ Routing and Remote Access Service (RRAS) โดยในรายงานนี้จะเขียนช่องโหว่เพียงบางส่วนเท่านั้น สามารถดูรายละเอียดช่องโหว่เพิ่มเติมได้ทาง Security Update Guide

รายละเอียดช่องโหว่

CVE-2025-49719 (คะแนน CVSS 7.5/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Improper Input Validation (CWE-20) ช่องโหว่นี้เกิดจากการตรวจสอบ Input ที่ไม่เหมาะสมใน Microsoft SQL Server ทำให้แฮกเกอร์ที่ไม่ผ่านการ Authorization สามารถ Remote เข้าถึงข้อมูลในหน่วยความจำที่ยังไม่ได้ Initialize ได้
CVE-2025-49717 (คะแนน CVSS 8.5/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Heap-based Buffer Overflow (CWE-122) ใน Microsoft SQL Server ที่เปิดโอกาสให้แฮกเกอร์ที่ผ่านการ Authorization สามารถ Remote สั่งรันโค้ดที่อันตรายบนระบบเครือข่ายได้ หรือที่เรียกว่า Remote Code Execution (RCE) นั่นเอง
CVE-2025-49697 (คะแนน CVSS 8.4/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Heap-based Buffer Overflow (CWE-122) ใน Microsoft Office ที่อนุญาตให้แฮกเกอร์ที่ไม่จำเป็นต้องผ่านการ Authorization สามารถโจมตีรูปแบบ Local Code Execution บนเครื่องของเหยื่อ
CVE-2025-49695 (คะแนน CVSS 8.4/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Use After Free (CWE-416) บน Microsoft Office เกิดจากโปรแกรมเรียกใช้ Pointer หรือ Object ที่ถูก Free ไปแล้ว ทำให้แฮกเกอร์สามารถควบคุมหน่วยความจำได้ตามต้องการจนนำไปสู่การรันโค้ดอันตรายภายในเครื่องเหยื่อ
CVE-2025-49696 (คะแนน CVSS 8.4/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Heap-based Buffer Overflow (CWE-122) และ Out-of-bounds Read (CWE-125) ภายใน Microsoft Office ซึ่งเปิดโอกาสให้แฮกเกอร์ที่ไม่ได้รับ Authorization สามารถรันโค้ดอันตรายภายในเครื่องของเหยื่อได้
CVE-2025-49702 (คะแนน CVSS 7.8/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Type Confusion (CWE-843) หรือการเข้าถึงหน่วยความจำด้วยชนิดข้อมูลที่ไม่ถูกต้องใน Microsoft Office ทำให้แฮกเกอร์ที่ไม่ได้รับการ Authorization สามารถดำเนินการ Local Code Execution ได้
CVE-2025-48822 (คะแนน CVSS 8.6/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Out-of-bounds Read (CWE-125) ใน Hyper-V Discrete Device Assignment (DDA) ซึ่งเป็นฟีเจอร์ของ Hyper-V ที่อนุญาตให้ Administrator ควบคุมอุปกรณ์ฮาร์ดแวร์โดยตรงจาก Host ไปยัง Guest Virtual Machine (VM) แฮกเกอร์สามารถใช้ช่องโหว่นี้ในการรันคำสั่งใน Local ได้โดยไม่ต้องได้รับ Authorization ที่ถูกต้องบนเครื่องซึ่งอาจนำไปสู่การยกระดับสิทธิ์ หรือควบคุมระบบของเหยื่อได้

นอกเหนือจากช่องโหว่ที่กล่าวในข้างต้นผู้ใช้งานยังสามารถดูช่องโหว่เพิ่มเติม เวอร์ชันที่ได้รับผลกระทบและเวอร์ชันที่ได้รับการแก้ไขได้ทาง Security Update Guide

ผลกระทบจากช่องโหว่

จากช่องโหว่ทั้งหมดที่ Microsoft ได้ออกแพตช์อัปเดต แฮกเกอร์สามารถใช้ประโยชน์ในการโจมตีรูปแบบ Remote Code Execution (RCE) Denial of Service (DoS) การ Spoofing การยกระดับสิทธิ์ การ Bypass ฟีเจอร์ความปลอดภัย และ Information Disclosure ได้

คำแนะนำ