ยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Microsoft และ Adobe เริ่มต้นปีด้วยการอัปเดตความปลอดภัยจำนวนมากสำหรับผลิตภัณฑ์ของตน ในเดือนมกราคม ทั้งสองบริษัทได้เผยแพร่กระดานข่าวหลายฉบับโดยมีเป้าหมายเพื่อแก้ไขช่องโหว่ต่างๆ มากมาย รวมถึงข้อบกพร่องร้ายแรงและการใช้ประโยชน์อย่างต่อเนื่อง
ความพยายามในการแก้ไขนี้ซึ่งโดยปกติแล้วจะเกิดขึ้นในวันอังคารที่สองของเดือน มีจุดมุ่งหมายเพื่อปกป้องผู้ใช้และองค์กรหลายล้านรายทั่วโลกจากภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น แพ็คเกจของเดือนนี้เน้นย้ำถึงการต่อสู้อย่างต่อเนื่องกับซอฟต์แวร์ที่เป็นอันตรายและการโจมตีที่ซับซ้อน
ความสนใจของผู้เชี่ยวชาญมุ่งเน้นไปที่การแก้ไขจุดอ่อนที่อาจส่งผลต่อความสมบูรณ์ของระบบหากไม่ได้รับการแก้ไข การใช้แพตช์เหล่านี้อย่างรวดเร็วถือเป็นสิ่งสำคัญในการลดความเสี่ยงและรับประกันความปลอดภัยทางดิจิทัล
Adobe: การแก้ไขและลำดับความสำคัญที่ครอบคลุม
Adobe เผยแพร่กระดานข่าว 11 ฉบับในเดือนนี้ ซึ่งกล่าวถึงช่องโหว่ CVE ที่ไม่ซ้ำกันทั้งหมด 25 รายการ ผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ Dreamweaver, InDesign, Illustrator, InCopy, Bridge, ชุด Substance 3D (Modeler, Stager, Painter, Sampler, Designer) และ ColdFusion ซึ่งครอบคลุมเครื่องมือสร้างสรรค์และแพลตฟอร์มการพัฒนาที่หลากหลาย
ในบรรดาการอัปเดต การแก้ไข ColdFusion มีความโดดเด่นจากการถูกจัดประเภทเป็น Priority 1 แม้ว่าจะไม่มีความรู้สาธารณะหรือการโจมตีที่เกิดขึ้นในขณะที่เผยแพร่ก็ตาม โปรแกรมปรับปรุงนี้มุ่งเป้าไปที่ข้อบกพร่องในการเรียกใช้โค้ดเพียงจุดเดียว โดยเน้นย้ำถึงความรุนแรงที่อาจเกิดขึ้นของช่องโหว่หากมีการใช้ประโยชน์
Dreamweaver ได้รับการแก้ไขสำหรับช่องโหว่การเรียกใช้โค้ด 5 รายการซึ่งจัดอยู่ในประเภท Critical ในขณะที่ InDesign มี CVE 5 รายการ โดย 4 รายการในนั้นจัดอยู่ในประเภท Critical ชุด Substance 3D แม้ว่าจะมีการแก้ไขหลายอย่าง แต่มีเพียงไม่กี่รายการเท่านั้นที่จัดว่าเป็นการเรียกใช้โค้ดที่สำคัญโดยอำเภอใจ เช่น ใน Substance 3D Stager และ Painter
การอัปเดตส่วนใหญ่ของ Adobe ยกเว้น ColdFusion อยู่ในรายการที่มีลำดับความสำคัญในการใช้งาน 3 ซึ่งบ่งชี้ว่าถึงแม้จะสำคัญ แต่ก็ไม่ได้ถูกโจมตีและไม่ได้รับรู้ต่อสาธารณะ ณ เวลาที่เผยแพร่
แพ็คเกจที่แข็งแกร่งของ Microsoft ประจำปี
Microsoft เริ่มต้นปีด้วยการเปิดตัวครั้งใหญ่ โดยเผยให้เห็นช่องโหว่ (CVE) ใหม่ 112 รายการในระบบและส่วนประกอบ รวมถึง Windows, Office, Azure, Microsoft Edge (อิงจาก Chromium), SharePoint Server, SQL Server, SMB Server และ Windows Management Services ด้วยการอัปเดตของบุคคลที่สามของ Chromium ทำให้ CVE ทั้งหมดเพิ่มขึ้นเป็น 114
ปริมาณแพตช์ที่สูงในเดือนมกราคมนี้ไม่ใช่เรื่องผิดปกติ ซึ่งสะท้อนถึงแนวทางปฏิบัติทั่วไปของผู้จำหน่ายที่ชะลอการอัปเดตบางอย่างในช่วงเทศกาลวันหยุด กลยุทธ์นี้พยายามหลีกเลี่ยงการหยุดชะงักที่สำคัญหากการแก้ไขทำให้เกิดปัญหาความเข้ากันได้หรือความล้มเหลวที่สำคัญในช่วงระยะเวลาที่ทีมสนับสนุนมีความพร้อมลดลง
จากการแก้ไขที่เผยแพร่ มีแปดรายการจัดอยู่ในประเภทสำคัญ ในขณะที่ส่วนที่เหลือจัดอยู่ในประเภทสำคัญ ความหลากหลายของช่องโหว่แสดงให้เห็นถึงความซับซ้อนของการรักษาความปลอดภัยในระบบนิเวศของซอฟต์แวร์ในวงกว้างและเชื่อมโยงถึงกันเช่นเดียวกับของ Microsoft
ช่องโหว่ที่ถูกใช้ประโยชน์อย่างแข็งขัน: การแจ้งเตือนด่วน
จุดเด่นประการหนึ่งของแพ็คเกจของ Microsoft คือช่องโหว่ที่อยู่ภายใต้การโจมตี: CVE-2026-20805 ซึ่งเป็นข้อบกพร่องในการเปิดเผยข้อมูลใน Desktop Window Manager แม้ว่าจะเป็นเรื่องผิดปกติสำหรับข้อบกพร่องในการเปิดเผยข้อมูลที่จะนำไปใช้แบบเรียลไทม์ ช่องโหว่นี้ทำให้เกิดการรั่วไหลของที่อยู่จากส่วนพอร์ต ALPC ระยะไกล
การเปิดเผยข้อมูลนี้มีความสำคัญเนื่องจากช่วยให้ผู้โจมตีสามารถใช้ที่อยู่เหล่านี้เป็นขั้นตอนเบื้องต้นในห่วงโซ่การแสวงหาผลประโยชน์ในวงกว้าง โดยทั่วไปแล้ว เป้าหมายสุดท้ายคือการบรรลุการเรียกใช้โค้ดโดยอำเภอใจ (RCE) ทำให้การหาประโยชน์มีความน่าเชื่อถือและมีประสิทธิภาพมากขึ้น Microsoft ไม่ได้ระบุรายละเอียดขอบเขตของการโจมตี แต่ลักษณะของข้อบกพร่องบ่งชี้ถึงความเสี่ยงอย่างมากต่อระบบที่ไม่ได้รับการติดตั้ง
ข้อบกพร่องที่น่าสังเกตใน Microsoft Office และระบบอื่นๆ
Microsoft Office ตกเป็นเป้าหมายของช่องโหว่อีกครั้ง โดย CVE-2026-20952 และ CVE-2026-20953 ถือเป็นข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล (RCE) ช่องโหว่เหล่านี้น่ากังวลเนื่องจากการแสวงหาผลประโยชน์ที่เกี่ยวข้องกับบานหน้าต่างแสดงตัวอย่าง ทำให้สามารถโจมตีได้โดยไม่ต้องโต้ตอบกับผู้ใช้โดยตรง
แม้ว่าจะไม่มีบันทึกการหาช่องโหว่ที่ใช้งานอยู่สำหรับข้อบกพร่องเฉพาะเหล่านี้ แต่การเกิดขึ้นซ้ำของช่องโหว่ในแผงแสดงตัวอย่าง Office บ่งชี้ถึงพื้นที่ที่มีความเสี่ยงอย่างต่อเนื่อง ผู้ดูแลระบบสามารถบรรเทาอันตรายได้โดยการปิดใช้งานบานหน้าต่างแสดงตัวอย่าง ซึ่งเป็นมาตรการป้องกันที่แม้จะไม่ใช่การแก้ไขขั้นสุดท้าย แต่ก็ป้องกันการแสวงหาประโยชน์ผ่านเวกเตอร์นี้
ข้อบกพร่องที่เกี่ยวข้องอีกประการหนึ่งคือ CVE-2026-21265 ซึ่งเป็นฟีเจอร์ความปลอดภัย Secure Boot ที่จะข้ามช่องโหว่เนื่องจากการหมดอายุของใบรับรอง แม้ว่าโอกาสในการแสวงหาผลประโยชน์จะต่ำ แต่ปัญหาสำหรับผู้ดูแลระบบก็มีสูง การไม่อัปเดตใบรับรองอาจทำให้อุปกรณ์ที่ใช้ Secure Boot ไม่สามารถรับการอัปเดตความปลอดภัยในอนาคตหรือเชื่อถือบูทโหลดเดอร์ใหม่ได้ ส่งผลให้เกิดความเสี่ยงในอนาคต
การวิเคราะห์เชิงลึกของ CVE ที่สำคัญ
รายชื่อ CVE ทั้งหมดของ Microsoft ในเดือนมกราคม 2026 ครอบคลุมประเด็นต่างๆ มากมาย ข้อบกพร่องที่สำคัญ นอกเหนือจากที่กล่าวถึงแล้วใน Office ยังรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Microsoft Excel และ Word การยกระดับสิทธิ์ในส่วนประกอบกราฟิกของ Windows และ Local Security Authority Subsystem Service (LSASS) รวมถึงการยกระดับที่สำคัญของข้อบกพร่องของสิทธิ์ใน Windows Virtualization-Based Security Enclave (VBS)
VBS ซึ่งเป็นคุณลักษณะด้านความปลอดภัยใหม่ใน Windows ใช้ Virtual Trust Levels (VTL) เพื่อจัดการสิทธิ์ CVE-2026-20876 อนุญาตให้ยกระดับสิทธิ์เป็น VTL2 ซึ่งเป็นระดับสูงสุดในปัจจุบัน ซึ่งก่อให้เกิดความเสี่ยงที่สำคัญ แม้ว่า Microsoft จะให้คะแนน CVSS 6.7 แต่ความซับซ้อนและขอบเขตของการยกระดับระหว่าง VTL ทำให้ผู้เชี่ยวชาญหลายคนพิจารณาคะแนนประสิทธิผลที่ 8.2 (สูง)
ช่องโหว่ที่สำคัญดังกล่าวครอบคลุมบริการและส่วนประกอบของ Windows และ Azure เกือบทั้งหมด รวมถึงการยกระดับสิทธิ์ในไดรเวอร์โมเด็ม, Azure Connected Machine Agent, Capabilities Access Management Service (camsvc) และข้อบกพร่องในการเปิดเผยข้อมูลในส่วนประกอบต่างๆ นอกจากนี้ยังมีช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน SharePoint Server, SQL Server และ Windows Deployment Services รวมถึงข้อบกพร่องด้านสิทธิพิเศษหลายประการใน Windows Management Services และเคอร์เนลระบบปฏิบัติการ การกระจายอย่างแพร่หลายนี้เน้นย้ำถึงความจำเป็นในการใช้กลยุทธ์การแพตช์ที่มีประสิทธิภาพและต่อเนื่องโดยองค์กรต่างๆ
คำแนะนำสำหรับผู้ดูแลระบบไอที
เนื่องจาก Adobe และ Microsoft มีการอัปเดตความปลอดภัยจำนวนมาก ผู้ดูแลระบบและทีมไอทีจึงควรให้ความสำคัญกับการนำแพตช์เหล่านี้ไปใช้ การมีอยู่ของช่องโหว่ที่ถูกโจมตีอย่างแข็งขันที่ Microsoft พร้อมด้วยช่องโหว่อื่นๆ อีกหลายรายการที่จัดว่ามีความสำคัญ ทำให้จำเป็นต้องดำเนินการทันทีเพื่อปกป้องโครงสร้างพื้นฐานดิจิทัล
จำเป็นอย่างยิ่งที่องค์กรจะต้องตรวจสอบรายการ CVE ทั้งหมดและประเมินผลกระทบที่อาจเกิดขึ้นในสภาพแวดล้อมเฉพาะของตน การทดสอบในสภาพแวดล้อมที่มีการควบคุมก่อนที่จะปรับใช้กับการใช้งานจริงเป็นแนวทางปฏิบัติที่ดีที่สุดเพื่อให้มั่นใจถึงความเข้ากันได้และหลีกเลี่ยงการหยุดชะงักในการปฏิบัติงาน นอกจากนี้ การปิดใช้งานฟีเจอร์ เช่น หน้าต่างแสดงตัวอย่างในสภาพแวดล้อมที่มีความเสี่ยงสูงสามารถให้การป้องกันเพิ่มเติมอีกชั้นหนึ่งจากการโจมตีแบบซีโรเดย์หรือที่ยังไม่ทราบแน่ชัด
การเฝ้าระวังภัยคุกคามใหม่ๆ อย่างต่อเนื่องและการบำรุงรักษาระบบที่ทันสมัยเป็นเสาหลักที่สำคัญในการป้องกันการโจมตีทางไซเบอร์ การอัปเดตในเดือนมกราคม 2569 ทำหน้าที่เป็นเครื่องเตือนใจอย่างชัดเจนถึงภาพรวมภัยคุกคามที่พัฒนาอย่างต่อเนื่องและความจำเป็นในการฟื้นตัวและการดำเนินการเชิงรุกในการรักษาความปลอดภัยทางไซเบอร์