เมื่อวันอังคารที่ผ่านมา เป็นวันออกแพ็ตช์ประจำเดือนของไมโครซอฟท์ที่เรียกว่า Patch Tuesday ซึ่งครั้งนี้มีตัวอัพเดทด้านความปลอดภัยรวม 87 รายการ ในนี้มีสองรายการที่พบการโจมตีในวงกว้างก่อนแล้ว และมีช่องโหว่แบบ RCE มากถึง 23 รายการ
สำหรับรายการทั้งหมดได้แก่ ช่องโหว่ที่เปิดให้ยกระดับสิทธิ์ 18 รายการ, ช่องโหว่ที่ข้ามฟีเจอร์ความปลอดภัย 3 รายการ, ช่องโหว่ RCE 23 รายการ, ช่องโหว่ที่ทำข้อมูลรั่วไหล 10 รายการ, ช่องโหว่ DoS 8 รายการ, และช่องโหว่แบบ Spoofing 12 รายการ
ช่องโหว่ข้างต้นนี้ไม่ได้รวมช่องโหว่บนบราวเซอร์ Microsoft Edge (Chromium) อีก 12 รายการที่ออกตัวแก้ไขตั้งแต่ต้นเดือนแล้ว ใน Patch Tuesday ครั้งนี้มีช่องโหว่ Zero-day 2 รายการที่ต่างถูกใช้ในการโจมตีวงกว้าง หนึ่งในนั้นมีการเปิดเผยรายละเอียดต่อสาธารณะแล้ว
อันได้แก่ ADV230003 – Microsoft Office Defense in Depth Update สำหรับอุดช่องโหว่ RCE รหัส CVE-2023-36884 ที่เปิดให้ผู้โจมตีสร้างเอกสาร Microsoft Office เพื่อข้ามฟีเจอร์ Mark of the Web (MoTW) ส่วนอีกช่องโหว่เป็นแบบ DoS บน .NET และ Visual Studio รหัส CVE-2023-38180
อ่านเพิ่มเติมที่นี่ – BPC
