53/69 (IT) ประจำวันพุธที่ 28 มกราคม 2569
Microsoft เผยแพร่อัปเดตความปลอดภัยนอกกำหนด (Out-of-band Update) เพื่อแก้ไขช่องโหว่ Zero-day ในชุดโปรแกรม Microsoft Office ที่กำลังถูกนำไปใช้โจมตี ที่ช่องโหว่หมายเลข CVE-2026-21509 ซึ่งส่งผลกระทบต่อ Microsoft Office หลายเวอร์ชัน ได้แก่ Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 รวมถึง Microsoft 365 Apps for Enterprise
Microsoft ระบุว่าช่องโหว่ดังกล่าวเป็นช่องโหว่ประเภทการหลีกเลี่ยงกลไกความปลอดภัย (Security Feature Bypass) ที่เกิดจากการนำข้อมูลที่ไม่น่าเชื่อถือมาใช้ประกอบการตัดสินใจด้านความปลอดภัย ทำให้ผู้โจมตีสามารถหลีกเลี่ยงมาตรการป้องกันของระบบได้ โดยรูปแบบการโจมตีต้องอาศัยการส่งไฟล์ Office ที่ถูกฝังโค้ดอันตรายให้เหยื่อ และหลอกให้เปิดไฟล์ดังกล่าว ทั้งนี้ Microsoft ยืนยันว่าช่องแสดงตัวอย่างไฟล์ (Preview Pane) ไม่ได้รับผลกระทบ และไม่สามารถใช้เป็นช่องทางโจมตีได้ อย่างไรก็ตาม บริษัทยังไม่ได้เปิดเผยรายละเอียดเชิงเทคนิคของการโจมตีที่ตรวจพบในขณะนี้
การอัปเดตดังกล่าวช่วยแก้ไขปัญหาที่เกี่ยวข้องกับการหลีกเลี่ยงการป้องกันด้าน OLE และ COM Control ใน Office ซึ่งอาจเปิดช่องให้รันคอนโทรลที่มีความเสี่ยงได้ โดยสำหรับ Office 2021 และเวอร์ชันที่ใหม่กว่า จะได้รับการป้องกันโดยอัตโนมัติผ่านการแก้ไขฝั่งบริการ (service-side fix) หลังจากรีสตาร์ตแอปพลิเคชัน ส่วนผู้ใช้งาน Office 2016 และ 2019 จำเป็นต้องติดตั้งอัปเดตความปลอดภัยที่จะเผยแพร่ในเร็ว ๆ นี้ หรือดำเนินการตั้งค่า Registry ด้วยตนเองเพื่อปิดกั้น COM/OLE Control ที่มีความเสี่ยง ทั้งนี้ Microsoft แนะนำให้ผู้ใช้งานสำรองข้อมูล Registry ก่อนดำเนินการ และรีสตาร์ตโปรแกรม Office
