Microsoft November 2023 Patch Tuesday มีการแก้ไข 5 Zero-Day และช่องโหว่อีก 58 รายการ

 แพทช์ประจำเดือนพฤศจิกายน 2566 ของ Microsoft ซึ่งรวมถึงการอัปเดตความปลอดภัยสำหรับข้อบกพร่องทั้งหมด 58 รายการและช่องโหว่แบบ Zero-day 5 รายการ ขณะที่ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) 14 รายการได้รับการแก้ไขแล้ว Microsoft ได้ให้ 1 รายการว่าร้ายแรงจากทั้งหมด และช่องโหว่ร้ายแรง 3 รายการที่แก้ไขในรอบนี้

    ได้แก่ ช่องโหว่ในการเปิดเผยข้อมูล Azure, RCE ใน Windows Internet Connection Sharing (ICS) และช่องโหว่ Hyper-V Escape ที่อนุญาตให้เรียกใช้งานโปรแกรมบนโฮสต์ที่มีสิทธิ์ระบบ

จำนวนช่องโหว่ในแต่ละหมวดหมู่ช่องโหว่มีดังต่อไปนี้:

• 16 Elevation of Privilege Vulnerabilities
• 6 Security Feature Bypass Vulnerabilities
• 15 Remote Code Execution Vulnerabilities
• 6 Information Disclosure Vulnerabilities
• 5 Denial of Service Vulnerabilities
• 11 Spoofing Vulnerabilities

    จากจำนวนช่องโหว่ทั้งหมด 58 รายการ ยังไม่รวมการอัปเดตความปลอดภัยของ Mariner 5 รายการ และการอัปเดตความปลอดภัยของ Microsoft Edge 20 รายการที่เผยแพร่เมื่อต้นเดือน หากต้องการรายละเอียดในการอัปเดทของ Windows 11 และ Windows 10

รายการช่องโหว่ของ Zero-Day 5 รายการ

    Patch Update รอบนี้ได้ทำการแก้ไขช่องโหว่แบบ Zero-Day โดยที่ 3 รายการยังคงไม่แก้ไขได้ และ อีก 2 รายการถูกแก้ไขและเปิดเผยต่อสาธารณะแล้วดังนี้

3 ช่องโหว่ที่มีความรุนแรงสูง และยังคงไม่ได้รับการแก้ไข

1. CVE-2023-36036 - Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability
2. CVE-2023-36033 - Windows DWM Core Library Elevation of Privilege Vulnerability
3. CVE-2023-36025 - Windows SmartScreen Security Feature Bypass Vulnerability

2 ช่องโหว่ที่มีความรุนแรงสูง และได้รับการแก้ไขแล้วใน Patch นี้

1. CVE-2023-36413 - Microsoft Office Security Feature Bypass Vulnerability
2. CVE-2023-36038 -- ASP.NET Core Denial of Service Vulnerability

ยังมีการอัพเดทจากทางบริษัท อื่น ๆ อีก เช่น

• Cisco released security updates for various products, including Cisco ASA.
• Google released the Android November 2023 security updates
• Microsoft Exchange zero-day flaws were disclosed after Microsoft decided they did not meet the bar for immediate servicing.
• QNAP released fixes for two critical command injection vulnerabilities.

รายละเอียดเพิ่มเติ่มของการ Update patch ประจำเดือน พฤศจิกายน 2566 สามารเข้าดูได้ที่

The November 2023 Patch Tuesday Security Updates

Ref : bleepingcomputer