Microsoft ปล่อยแพตช์ความปลอดภัย Windows 10 และ 11 ประจำเด…

ในรอบ Patch Tuesday ประจำเดือนมิถุนายน 2026 ที่ผ่านมา Microsoft ได้ดำเนินการเผยแพร่อัปเดตความปลอดภัยครั้งใหญ่สำหรับระบบปฏิบัติการ Windows ทั้ง Windows 11 และ Windows 10 โดยมีวัตถุประสงค์หลักในการแก้ไขช่องโหว่ด้านความปลอดภัยรวมทั้งหมดถึง 200 รายการ ข้อมูลจากการอัปเดตระบุว่า ในกลุ่มช่องโหว่เหล่านี้ได้มีการเปิดเผยช่องโหว่ระดับ Zero-Day ต่อสาธารณะแล้วจำนวน 3 รายการ แม้ว่า ณ ขณะที่รายงานนี้เผยแพร่ออกมาจะยังไม่มีรายงานการนำช่องโหว่เหล่านี้ไปใช้โจมตีจริง แต่ลักษณะของช่องโหว่เหล่านี้ถือเป็นภัยคุกคามที่มีความรุนแรงสูง และส่งผลกระทบต่อองค์ประกอบสำคัญของระบบอย่างมาก การอัปเดตสำหรับ Windows 11 ได้มีการปล่อย cumulative update ด้วยรหัส KB5094126 และ KB5093998 ส่วนสำหรับผู้ใช้งาน Windows 10 ที่ยังคงอยู่ในโครงการ **Extended Security Update (ESU) ก็ได้รับการอัปเดตความปลอดภัยด้วยรหัส KB5094127 ซึ่งแสดงให้เห็นถึงความต่อเนื่องและความมุ่งมั่นของ Microsoft ในการรักษาความปลอดภัยให้กับผลิตภัณฑ์อย่างครอบคลุม

รายละเอียดช่องโหว่ที่ถูกแก้ไข

การอัปเดตครั้งนี้เน้นการแก้ไขช่องโหว่ที่หลากหลายประเภท โดยรวมแล้วพบช่องโหว่ระดับ Critical ถึง 33 รายการ ซึ่งเป็นหัวใจสำคัญของการเฝ้าระวังความปลอดภัยในรอบเดือนนี้ การจำแนกประเภทของช่องโหว่ที่ได้รับการแก้ไขประกอบด้วยช่องโหว่ที่ร้ายแรงในหลายมิติ เช่น ช่องโหว่ระดับ Remote Code Execution (RCE) จำนวน 28 รายการ ซึ่งเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถรันคำสั่งบนเครื่องที่ตกเป็นเป้าหมายได้จากระยะไกลโดยไม่ต้องมีสิทธิ์เข้าถึงทางกายภาพ ช่องโหว่ประเภทนี้ถือเป็นอันตรายระดับสูงที่สุด ช่องโหว่ที่เกี่ยวข้องกับการ Elevation of Privilege** มีจำนวน 4 รายการ ซึ่งหมายถึงช่องโหว่ที่ช่วยให้ผู้โจมตีที่เข้าถึงเครื่องได้ในระดับต่ำ สามารถยกระดับสิทธิ์ของตนเองให้เป็นระดับสูงสุด (เช่น SYSTEM) เพื่อเข้าถึงข้อมูลหรือควบคุมระบบทั้งหมดได้ นอกจากนี้ยังมีการแก้ไขช่องโหว่ในส่วนอื่น ๆ เช่น ช่องโหว่เปิดเผยข้อมูล (Information Disclosure) จำนวน 1 รายการ และช่องโหว่ในกลุ่มที่ใหญ่กว่าอย่าง Elevation of Privilege 65 รายการ, Security Feature Bypass 19 รายการ, Remote Code Execution 55 รายการ, Information Disclosure 30 รายการ, Denial of Service 7 รายการ, และ Spoofing 27 รายการ ตัวเลขเหล่านี้เป็นภาพรวมของความพยายามในการอุดช่องโหว่ในส่วนต่าง ๆ ของระบบปฏิบัติการและแอปพลิเคชันที่เกี่ยวข้อง

เจาะลึกช่องโหว่ Zero-Day 3 ตัว

การอัปเดตครั้งนี้มีการเปิดเผยช่องโหว่ระดับ Zero-Day ที่ถูกเปิดเผยสู่สาธารณะแล้วถึง 3 รายการ ซึ่งแต่ละรายมีลักษณะและผลกระทบที่แตกต่างกันออกไป ช่องโหว่แรกคือ CVE-2026-45586 ซึ่งเกี่ยวข้องกับ Windows Collaborative Translation Framework (GreenPlasma) ถูกระบุว่ามีความรุนแรงสูงถึง 7.8/10 คะแนน ช่องโหว่นี้จัดอยู่ในกลุ่ม Elevation of Privilege โดยผู้โจมตีที่สามารถเข้าถึงเครื่องเป้าหมายได้ในระดับใดระดับหนึ่งก่อนหน้านี้ สามารถใช้ประโยชน์จากช่องโหว่นี้ในการยกระดับสิทธิ์ของตัวเองให้เป็น SYSTEM** ซึ่งเป็นสิทธิ์สูงสุดของระบบปฏิบัติการได้ การยกระดับสิทธิ์เช่นนี้ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้อย่างสมบูรณ์ ติดตั้งมัลแวร์ที่เป็นอันตราย หรือเข้าถึงข้อมูลสำคัญทั้งหมดที่เก็บไว้ในระบบได้

ส่วนช่องโหว่ที่สองคือ CVE-2026-49160 ซึ่งเกี่ยวข้องกับ HTTP.sys หรือที่รู้จักกันในชื่อ HTTP/2 Bomb ถูกให้คะแนนความรุนแรง 7.5/10 คะแนน ช่องโหว่นี้จัดอยู่ในกลุ่ม Denial of Service (DoS) โดยผู้โจมตีไม่จำเป็นต้องเข้าถึงเครื่องโดยตรง แต่สามารถส่งข้อมูล HTTP/2 ที่มีขนาดเล็กแต่ถูกออกแบบมาให้บังคับให้เซิร์ฟเวอร์ใช้หน่วยความจำ (Memory) ในปริมาณที่ผิดปกติได้อย่างมาก การโจมตีลักษณะนี้ส่งผลกระทบอย่างรุนแรงต่อประสิทธิภาพของเซิร์ฟเวอร์ หรืออาจทำให้บริการที่รันอยู่หยุดทำงานโดยสิ้นเชิง เพื่อบรรเทาความเสี่ยงจากการโจมตีรูปแบบนี้ Microsoft จึงได้มีการแนะนำให้เพิ่มค่า Registry ใหม่ชื่อ MaxHeadersCount เข้าไป เพื่อช่วยลดความเสี่ยงที่เกิดจากการใช้หน่วยความจำที่เกินขีดจำกัดในการประมวลผลเฮดเดอร์ของ HTTP

สำหรับช่องโหว่ที่สามคือ CVE-2026-50507 ซึ่งเกี่ยวกับ Windows BitLocker (YellowKey) ถูกให้คะแนนความรุนแรง 6.8/10 คะแนน ช่องโหว่นี้เป็นประเภท Security Feature Bypass โดยผู้โจมตีที่สามารถเข้าถึงเครื่องจริง (Physical Access) ได้ อาจใช้ช่องโหว่นี้ในการโจมตีที่ซับซ้อน เช่น การใช้ USB หรือไฟล์ที่ถูกสร้างขึ้นเป็นพิเศษเพื่อบูตเข้าสู่ Windows Recovery Environment (WinRE) และในที่สุดก็อาจสามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสด้วย BitLocker ได้ แม้กระทั่งกับเครื่องที่ใช้ BitLocker แบบ TPM-only บนระบบปฏิบัติการ Windows 11 และ Windows Server 2022/2025 ซึ่งถือเป็นข้อมูลที่มีความละเอียดอ่อนอย่างยิ่ง

คำแนะนำเพื่อเพิ่มความปลอดภัยของระบบ

นอกเหนือจากการอัปเดตความปลอดภัยของ Microsoft เองแล้ว ในช่วงเดือนมิถุนายน 2026 นี้ ผู้ผลิตซอฟต์แวร์รายอื่น ๆ ก็ได้มีการเผยแพร่อัปเดตความปลอดภัยของตนเองเช่นกัน โดยแบรนด์สำคัญ ๆ อาทิ Acer, Adobe, Check Point, Cisco, Fortinet, Google, Ivanti, Ubiquiti, SAP และ Veeam ต่างก็ออกแพตช์เพื่อแก้ไขช่องโหว่ที่ตรวจพบ การที่องค์กรต่าง ๆ ต้องเผชิญกับช่องโหว่พร้อมกันจากผู้ผลิตหลายราย ยิ่งเน้นย้ำถึงความจำเป็นที่ผู้ดูแลระบบและผู้ใช้งานทุกคนจะต้องดำเนินการอย่างรวดเร็วในการติดตั้งแพตช์เหล่านี้ การละเลยการอัปเดตแม้เพียงครั้งเดียว อาจทำให้ระบบขององค์กรตกอยู่ในความเสี่ยงจากการถูกโจมตีโดยใช้ช่องโหว่ที่ถูกใช้จริงแล้ว

โดยเฉพาะอย่างยิ่ง สำหรับองค์กรที่มีการใช้งาน Windows Server, IIS, หรือมีการเปิดให้บริการแอปพลิเคชันผ่านเครือข่ายที่เปิดกว้าง รวมถึงผู้ที่ใช้ฟีเจอร์ด้านการเข้ารหัสข้อมูลอย่าง BitLocker จำเป็นต้องให้ความสำคัญกับการอัปเดตแพตช์ของ Microsoft อย่างเร่งด่วน นอกจากนี้ สำหรับช่องโหว่ของ BitLocker ที่เป็นข้อกังวล การป้องกันความเสี่ยงเพิ่มเติมโดยการตั้งค่าเป็น TPM+PIN บน Windows 11 และ Windows Server 2022/2025 ได้รับการแนะนำอย่างยิ่งจาก Microsoft เพื่อเพิ่มชั้นความปลอดภัยทางกายภาพและดิจิทัลให้กับข้อมูลที่สำคัญเหล่านั้น ซึ่งถือเป็นมาตรการที่ดีที่สุดที่ควรปฏิบัติควบคู่ไปกับการอัปเดตระบบเสมอ