June 25, 2026

Language:

CamSA26-19: ចំណុចខ្សោយនៅក្នុងផលិតផល Microsoft ប្រចាំខែមិថុនា ឆ្នាំ២០២៦

Jun 19, 2026

. ព័ត៌មានទូទៅ

ក្រុមហ៊ុនម៉ៃក្រូសូហ្វបានធ្វើការចេញផ្សាយនូវបញ្ជីចំណុចខ្សោយចំនួន១៩៨ ដែល៣ ត្រូវបានគេស្គាល់ថាជាចំណុចខ្សោយ zero-day។  តាមរយៈក្រុមហ៊ុនសន្តិសុខបច្ចេកវិទ្យា Tenable.sc បានគូសបញ្ជាក់ថាមានចំណុចខ្សោយ ៣២ ត្រូវបានវាយតម្លៃថាមានកម្រិតធ្ងន់ធ្ងរបំផុត ចំណែក១៦៦ ត្រូវបានវាយតម្លៃថាមានកម្រិតធ្ងន់ធ្ងរ។ ចំណុចខ្សោយខាងលើនេះ មិនបានរាប់បញ្ចូលចំណុចខ្សោយចំនួន ៦ ដែលត្រូវបានដោះស្រាយរួចរាល់ដោយ Microsoft តាមរយៈការផ្ដល់សេវាកម្ម (Servicing) និងមិនតម្រូវឱ្យអតិថិជនធ្វើសកម្មភាពបន្ថែមនោះទេ ព្រមទាំងមិនរាប់បញ្ចូលចំណុចខ្សោយចំនួន ២ ផ្សេងទៀត (គឺ CVE-2025-10263 និង CVE-2026-8863) ដែលត្រូវបានរកឃើញ និងលាតត្រដាងដោយស្ថាប័ន CNA ដទៃនោះឡើយ។ ហើយនេះជាការធ្វើបច្ចុប្បន្នភាព (Update) ធំបំផុតក្នុងប្រវត្តិសាស្ត្ររបស់កម្មវិធី Patch Tuesday ដោយបានបំបែកកំណត់ត្រាចាស់កាលពីខែតុលា ឆ្នាំ២០២៥ (ដែលមានចំណុចខ្សោយ ១៦៧)។ ផ្អែកតាមរបាយការណ៍វិភាគពីក្រុមហ៊ុនសន្តិសុខបច្ចេកវិទ្យា បញ្ជាក់ថាមានចំណុចខ្សោយចំនួន ១៦ ដែលអ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងប្រព័ន្ធ (System Administrators) គួរយកចិត្តទុកដាក់បំផុត រួមមាន៖

  • CVE-2026-50507: ចំណុចខ្សោយកម្រិតធ្ងន់ធ្ងរមាននៅក្នុងមុខងារការពារសន្តិសុខ Windows BitLocker ដោយសារតែប្រព័ន្ធមានចន្លោះប្រហោងដែលអាចឱ្យរំលងការការពារ (Security Feature Bypass) ដែលអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ មានលទ្ធភាពចូលទៅដល់ឧបករណ៍ផ្ទាល់ (Physical Access) អាចវាយប្រហារដើម្បីរំលងមុខងារ BitLocker Device Encryption ក្នុងការចូលទៅមើល ឬលួចយកទិន្នន័យដែលបានកូដនីយកម្ម (Encrypted Data) នៅក្នុងម៉ាស៊ីនបានដោយជោគជ័យ។
  • CVE-2026-49160: ចំណុចខ្សោយកម្រិតធ្ងន់ធ្ងរមាននៅក្នុងកម្មវិធីបញ្ជាកញ្ចប់ទិន្នន័យបណ្តាញ sys នៃប្រព័ន្ធប្រតិបត្តិការ Windows ដែលប៉ះពាល់ទៅលើពិធីការ HTTP/2 ដោយសារតែប្រព័ន្ធមានចន្លោះប្រហោងទប់ទល់នឹងការវាយប្រហារបដិសេធការផ្តល់សេវាកម្ម (Denial of Service – DoS)។ ចំណុចខ្សោយនេះត្រូវបានក្រុមអ្នកស្រាវជ្រាវនៅ Calif ដាក់ឈ្មោះហៅក្រៅថា “HTTP/2 Bomb” ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ វាយប្រហារដើម្បីធ្វើឱ្យម៉ាស៊ីនមេ (Web Server) គាំង ឬមិនអាចដំណើរការផ្តល់សេវាកម្មបានដោយជោគជ័យ។
  • CVE-2026-45586: ចំណុចខ្សោយកម្រិតធ្ងន់ធ្ងរមាននៅក្នុងមុខងារ Windows Collaborative Translation Framework (CTFMON) ដែលជាដំណើរការប្រព័ន្ធ (Process) ជំនួយដល់ការសម្គាល់សំឡេង និងការសរសេរដោយដៃ ដោយសារតែប្រព័ន្ធមានចន្លោះប្រហោងក្នុងការដំឡើងសិទ្ធិ (Elevation of Privilege – EoP)។
  • CVE-2026-42909, CVE-2026-42913, CVE-2026-42985, CVE-2026-42992, CVE-2026-42993, CVE-2026-44799, CVE-2026-44801, CVE-2026-47289, CVE-2026-47653, CVE-2026-47654, CVE-2026-48563: ចំណុចខ្សោយកម្រិតគ្រោះថ្នាក់បំផុតមាននៅក្នុងកម្មវិធី Remote Desktop Client ដោយសារតែប្រព័ន្ធមានចន្លោះប្រហោងទប់ទល់នឹងការបញ្ជូនទិន្នន័យលើសចំណុះ (Heap-based Buffer Overflow) ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ប្រើប្រាស់ល្បិចបញ្ឆោត ឬបង្កើតម៉ាស៊ីនមេក្លែងក្លាយដែលគ្រប់គ្រងដោយខ្លួនឯង (Attacker-controlled Server) ហើយនៅពេលដែលជនរងគ្រោះប្រើប្រាស់កម្មវិធី Remote Desktop Client កំណែទម្រង់ដែលមានចន្លោះ  ប្រហោងទៅភ្ជាប់ជាមួយម៉ាស៊ីនមេនោះ នឹងអាចបើកផ្លូវឱ្យបញ្ជាដំណើរការកូដពីចម្ងាយ (Remote Code Execution – RCE) ដើម្បីគ្រប់គ្រង ឬដំឡើងកម្មវិធីមិនល្អនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះបានដោយជោគជ័យ។
  • CVE-2026-41091: ចំណុចខ្សោយកម្រិតធ្ងន់ធ្ងរ មាននៅក្នុងកម្មវិធីការពារមេរោគ Microsoft Defender ដោយសារតែប្រព័ន្ធមានចន្លោះប្រហោងក្នុងការដំឡើងសិទ្ធិ (Elevation of Privilege – EoP) ដែលអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលគ្មានសិទ្ធិ (Unprivileged Attacker) វាយប្រហារដោយបង្កើត និងសរសេរឯកសារដែលបានកែច្នៃពិសេសទៅកាន់ទីតាំងដែលមានសិទ្ធិខ្ពស់ (Privileged Location) ហើយនៅពេលដែលកម្មវិធី Microsoft Defender សរសេរឯកសារនោះត្រឡប់ទៅវិញ នឹងអនុញ្ញាតឱ្យទទួលបានសិទ្ធិកម្រិតខ្ពស់បំផុតរបស់ប្រព័ន្ធ (SYSTEM privileges) បានដោយជោគជ័យ។
  • CVE-2026-45585: ចំណុចខ្សោយកម្រិតធ្ងន់ធ្ងរ (Important) នេះមាននៅក្នុងមុខងារការពារសន្តិសុខ Windows BitLocker ដោយសារតែប្រព័ន្ធមានចន្លោះប្រហោងដែលអាចឱ្យរំលងការការពារ (Security Feature Bypass)។ ចំណុចខ្សោយនេះត្រូវបានគេស្គាល់ថាជា “YellowKey” ដែលដាក់ឈ្មោះដោយអ្នកស្រាវជ្រាវម្នាក់មានរហស្សនាមថា Chaotic Eclipse ឬ Nightmare Eclipse ដែលវាអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ វាយប្រហារដើម្បីរំលងមុខងារការពារ និងចូលទៅមើល ឬកែប្រែទិន្នន័យនានានៅក្នុងប្រព័ន្ធបានដោយជោគជ័យ។

២. ផលិតផលម៉ៃក្រូសូហ្វដែលរងផលប៉ះពាល់

  • .NET
  • NET Core
  • Active Directory Domain Services
  • Azure HorizonDB
  • Azure Stack Edge
  • Copilot Chat (Microsoft Edge)
  • Function Discovery Service (fdwsd.dll)
  • GitHub Copilot and Visual Studio Code
  • HTTP/2
  • Linux MANA Driver
  • M365 Copilot
  • Microsoft Azure Attestation service and Device Health Attestation Service
  • Microsoft Azure Kubernetes Service
  • Microsoft Bing
  • Microsoft Copilot
  • Microsoft Defender for Endpoint
  • Microsoft Dynamics 365 (on-premises)
  • Microsoft Exchange Online
  • Microsoft Exchange Server
  • Microsoft Graph
  • Microsoft Graphics Component
  • Microsoft Kinect
  • Microsoft Live Share Canvas SDK
  • Microsoft Office
  • Microsoft Office Click-To-Run
  • Microsoft Office Excel
  • Microsoft Office Project
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft PC Manager
  • Microsoft PowerToys
  • Microsoft Teams for Android
  • Microsoft UxTheme Library (uxtheme.dll)
  • Microsoft Windows DNS
  • Nuance PowerScribe
  • Office for Android
  • Remote Desktop Client
  • Role: Windows Hyper-V
  • UI Automation Manager (uiamanager.dll)
  • Universal Plug and Play (upnp.dll)
  • Visual Studio Code
  • Windows Administrator Protection
  • Windows Ancillary Function Driver for WinSock
  • Windows Application Identity (AppID) Subsystem
  • Windows BitLocker
  • Windows Bluetooth Port Driver
  • Windows Bluetooth Service
  • Windows Boot Manager
  • Windows Collaborative Translation Framework
  • Windows Common Log File System Driver
  • Windows Cryptographic Services
  • Windows DHCP Client
  • Windows DHCP Server
  • Windows DWM Core Library
  • Windows Deployment Services
  • Windows HTTP.sys
  • Windows Hotpatch Monitoring Service
  • Windows Hyper-V
  • Windows Internet (wininet.dll)
  • Windows Kerberos
  • Windows Kernel
  • Windows Kernel-Mode Drivers
  • Windows Mark of the Web (MOTW)
  • Windows Media
  • Windows NT OS Kernel
  • Windows NTFS
  • Windows Narrator Braille
  • Windows Network Controller (NC) Host Agent
  • Windows Performance Monitor
  • Windows Program Compatibility Assistant Service
  • Windows Projected File System Filter Driver
  • Windows Push Notifications
  • Windows RDP
  • Windows SDK
  • Windows Secure Boot
  • Windows Shell
  • Windows Storage
  • Windows TCP/IP
  • Windows Telephony Service
  • Windows UEFI
  • Windows Universal Disk Format File System Driver (UDFS)
  • Windows Win32K – GRFX
  • Winlogon

៣. ផលវិបាក

ការវាយប្រហារដោយជោគជ័យទៅលើចំណុចខ្សោយខាងលើនេះ អាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ដំណើរការនូវកូដនានាពីចម្ងាយហើយធ្វើការគ្រប់គ្រងទៅលើម៉ាស៊ីនរងគ្រោះ ដើម្បីធ្វើសកម្មភាពមិនអនុញ្ញាតនានា រួមមានការដំឡើងកម្មវិធី បង្កើតនូវគណនីអភិបាលផ្សេងទៀត និងការបើកផ្លាស់ប្តូរ ឬលុបទិន្នន័យនានា។

៤. អនុសាសន៍ណែនាំ

អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធត្រូវតែធ្វើការអាប់ដេតជាបន្ទាន់។

៥. ឯកសារពាក់ព័ន្ធ

  • https://www.jpcert.or.jp/english/at/2026/at260017.html
  • https://www.jpcert.or.jp/english/at/2026/at260017.html
  • https://www.tenable.com/blog/microsofts-june-2026-patch-tuesday-addresses-198-cves-cve-2026-49160-cve-2026-50507
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.

More from Category

CamSA26-22: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតនៅក្នុងផលិតផល F5 ចំនួនពីរ (NGINX Open Source និង NGINX Plus)

Jun 22, 2026

CamSA26-21: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតនៅក្នុងផលិតផល Cisco

Jun 21, 2026

CamSA26-20: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតនៅក្នុងផលិតផលក្រុមហ៊ុន Fortinet

Jun 20, 2026