508/68 (IT) ประจำวันพฤหัสบดีที่ 4 ธันวาคม 2568
สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (U.S. Cybersecurity and Infrastructure Security Agency – CISA) ได้เพิ่มช่องโหว่ Android Framework ลงใน Known Exploited Vulnerabilities (KEV) Catalog ซึ่งเป็นรายการช่องโหว่ที่ตรวจพบการโจมตีแล้ว (actively exploited) และกำหนดให้หน่วยงานภาครัฐต้องดำเนินการแก้ไขภายในเวลาที่กำหนด ช่องโหว่ที่เพิ่มเข้ามาประกอบด้วย
– CVE-2025-48572: Android Framework Privilege Escalation
– CVE-2025-48633: Android Framework Information Disclosure
การเพิ่มช่องโหว่เกิดขึ้นในช่วงเดียวกับการออกอัปเดต Android ประจำเดือนธันวาคม ที่แก้ไขช่องโหว่รวม 107 รายการ ซึ่งครอบคลุม system, kernel และ component ของผู้ผลิตอุปกรณ์ โดย Google ระบุว่าช่องโหว่ทั้งสองรายการนี้ถูกนำไปใช้โจมตีแบบเจาะจงเป้าหมายแล้ว (limited, targeted exploitation) แม้จะไม่มีการเปิดเผยรายละเอียดทางเทคนิคของการโจมตี แต่ในขณะนี้ แพตช์ประจำเดือนนี้ถูกจัดเป็นสองระดับคือ 12-01 และ 12-05 เพื่อให้ผู้ผลิตปล่อยอัปเดตแก้ไขได้รวดเร็วขึ้นตามความเสี่ยง
ตามข้อกำหนดของ Binding Operational Directive (BOD) 22-01 หน่วยงาน Federal Civilian Executive Branch (FCEB) ของสหรัฐฯ ต้องแก้ไขช่องโหว่ที่อยู่ใน KEV Catalog ภายในกำหนดเวลาเพื่อป้องกันการถูกโจมตี CISA ได้ออกคำสั่งให้หน่วยงานแก้ไขช่องโหว่ทั้งสองรายการภายในวันที่ 23 ธันวาคม 2025 ขณะที่ผู้เชี่ยวชาญแนะนำให้ภาคเอกชนตรวจสอบ KEV Catalog และประเมินความเสี่ยงในโครงสร้างพื้นฐานของตนด้วยเช่นกัน เนื่องจากช่องโหว่ที่ถูกเพิ่มในรายการนี้มักมีความเสี่ยงสูงและถูกใช้โจมตีแล้ว
