Microsoft ปล่อยอัปเดต Patch Tuesday เดือนพฤศจิกายน 2025 แก้ไขช่องโหว่ 63 รายการ รวมถึง 1 ช่องโหว่ Zero-Day
Microsoft ได้ปล่อยชุดอัปเดตความปลอดภัยประจำเดือนพฤศจิกายน 2025 (Patch Tuesday)
ซึ่งรวมการแก้ไขช่องโหว่จำนวน 63 รายการ โดยมี 1 ช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว (Zero-day)
ในจำนวนนี้ มี 4 ช่องโหว่ระดับ Critical ได้แก่
🔹2 ช่องโหว่ Remote Code Execution (RCE)
🔹ช่องโหว่ Elevation of Privilege
🔹1 ช่องโหว่ Information Disclosure
สรุปประเภทของช่องโหว่ที่แก้ไขในเดือนนี้:
🔹29 – Elevation of Privilege
🔹2 – Security Feature Bypass
🔹16 – Remote Code Execution
🔹11 – Information Disclosure
🔹3 – Denial of Service
🔹2 – Spoofing
หมายเหตุ: ตัวเลขนี้ไม่นับรวมช่องโหว่ใน Microsoft Edge และ Mariner OS ที่ถูกแก้ไขก่อนหน้านี้ในเดือนเดียวกัน
🪟 Windows 10 เข้าสู่โปรแกรม Extended Security Update (ESU)
เดือนนี้ถือเป็นครั้งแรกที่ Windows 10 เข้าสู่ระยะ Extended Security Update (ESU)
หากคุณยังใช้งาน Windows 10 (ที่หมดการสนับสนุนแล้ว) แนะนำให้:
🔹อัปเกรดเป็น Windows 11, หรือ
🔹สมัครเข้าร่วม โปรแกรม ESU เพื่อรับอัปเดตความปลอดภัยต่อไป
Microsoft ยังได้ออกอัปเดต out-of-band เพื่อแก้ไขบั๊กที่ทำให้บางเครื่องไม่สามารถเข้าร่วมโปรแกรม ESU ได้
อัปเดตอื่น ๆ ที่ปล่อยวันนี้ ได้แก่:
🔹Windows 11: KB5066835 และ KB5066793
🔹Windows 10: KB5068781 (ESU update)
⚠️ ช่องโหว่ Zero-Day ที่ถูกใช้โจมตีจริง
CVE-2025-62215 – Windows Kernel Elevation of Privilege Vulnerability
ช่องโหว่นี้เกิดจากการ race condition ใน Windows Kernel
ซึ่งช่วยให้ผู้โจมตีสามารถ ยกระดับสิทธิ์เป็น SYSTEM บนเครื่องที่ถูกโจมตีได้
“การประมวลผลพร้อมกันของ shared resource โดยไม่มีการซิงโครไนซ์ที่ถูกต้อง อาจทำให้ผู้โจมตีที่ได้รับสิทธิ์อยู่แล้วสามารถยกระดับสิทธิ์ภายในระบบได้” — Microsoft
Microsoft ระบุว่าช่องโหว่นี้ถูกค้นพบและรายงานโดย Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC)
แต่ยังไม่เปิดเผยรายละเอียดวิธีการโจมตี
🧩 การอัปเดตด้านความปลอดภัยจากผู้ผลิตรายอื่นในเดือนพฤศจิกายน 2025
🔹Adobe: อัปเดตความปลอดภัยสำหรับ InDesign, Photoshop, Illustrator, Substance 3D, และผลิตภัณฑ์อื่น ๆ
🔹Cisco: แก้ไขช่องโหว่หลายรายการใน Cisco ASA, Identity Services และระบบ Unified Contact Center
🔹expr-eval: ออกแพตช์แก้ไขช่องโหว่ RCE ร้ายแรงในไลบรารี JavaScript
🔹Fortinet: อัปเดตแก้ไขช่องโหว่ระดับปานกลางใน FortiOS
🔹Google: ปล่อย Android Security Bulletin (พฤศจิกายน) พร้อมแพตช์ 2 ช่องโหว่
🔹Ivanti: อัปเดตประจำเดือนสำหรับผลิตภัณฑ์ทั้งหมด
🔹runC: แก้ไขช่องโหว่ที่เปิดโอกาสให้หลบหนีออกจาก container (Docker/Kubernetes)
🔹QNAP: แก้ไขช่องโหว่ zero-day จำนวน 7 รายการ ที่ถูกใช้ในงาน Pwn2Own Ireland 2025
🔹SAP: อัปเดตช่องโหว่ระดับ 10/10 ใน SQL Anywhere Monitor
🔹Samsung: ออกอัปเดตประจำเดือนพฤศจิกายน แก้ไขช่องโหว่ 25 รายการ
ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/